Zero Trust-principes toepassen om inzicht te krijgen in netwerkverkeer
Dit artikel bevat richtlijnen voor het toepassen van de principes van Zero Trust voor het segmenteren van netwerken in Azure-omgevingen. Hier volgen de Zero Trust-principes.
| Zero Trust-principe | Definitie |
|---|---|
| Expliciet verifiëren | Altijd verifiëren en autoriseren op basis van alle beschikbare gegevenspunten. |
| Toegang met minimale bevoegdheden gebruiken | Beperk gebruikerstoegang met Just-In-Time en Just-Enough-Access (JIT/JEA), op risico gebaseerd adaptief beleid en gegevensbeveiliging. |
| Stel dat er sprake is van een schending | Minimaliseer straal en segmenttoegang. Controleer end-to-end-versleuteling en gebruik analyse om zichtbaarheid te krijgen, detectie van bedreigingen te stimuleren en verdediging te verbeteren. Aan dit principe wordt voldaan met behulp van analyses om inzicht te krijgen in het netwerkverkeer in uw Azure-infrastructuur. |
Dit artikel maakt deel uit van een reeks artikelen die laten zien hoe u de principes van Zero Trust toepast op Azure-netwerken.
De typen netwerkverkeer die in dit artikel worden behandeld, zijn:
- Gecentraliseerd
- Oost-west-verkeer, dat verkeer is tussen uw virtuele Azure-netwerken (VNets) en uw Azure-services en on-premises netwerk
- Noord-zuid, dat verkeer is tussen uw Azure-omgeving en internet
Referentiearchitectuur
In het volgende diagram ziet u de referentiearchitectuur voor deze Zero Trust-richtlijnen voor verkeersinspectie tussen on-premises en Azure-VNets, tussen Azure-VNets en Azure-services, en tussen uw Azure-omgeving en internet.
Deze referentiearchitectuur bevat:
- Azure IaaS-workloads die worden uitgevoerd op virtuele Azure-machines.
- Azure-services.
- Een internetrand-VNet met Azure DDoS Protection, een Azure Firewall en een Azure Web Application Firewall (WAF).
- Pijlen met oost-west- en noord-zuidverkeersstromen.
Wat staat er in dit artikel?
Zero Trust-principes worden toegepast in de referentiearchitectuur. In de volgende tabel worden de aanbevelingen beschreven voor het waarborgen van de zichtbaarheid van netwerkverkeer in deze architectuur voor het principe Van schending van Zero Trust aannemen.
| Stap | Taak |
|---|---|
| 1 | Implementeer een gecentraliseerd verkeersinspectiepunt. |
| 2 | Implementeer oost-west verkeersinspectie. |
| 3 | Implementeer noord-zuid verkeersinspectie. |
Stap 1: Een gecentraliseerd verkeersinspectiepunt implementeren
Gecentraliseerde verkeersinspectie biedt u de mogelijkheid om het verkeer in en uit uw netwerk te beheren en te visualiseren. Hub- en spoke-VNets en Azure Virtual WAN zijn de twee meest voorkomende netwerktopologieën in Azure. Ze hebben verschillende mogelijkheden en functies in de manier waarop ze netwerken verbinden. In beide ontwerpen is het hub-VNet het centrale netwerk en wordt gebruikt om workloads te splitsen in toepassingen en workloads van het hub-VNet naar spoke-VNets. De gecentraliseerde inspectie omvat verkeer dat noord-zuid, oost-west of beide stroomt.
Stertopologie
Een van de kenmerken van een hub- en spoke-model is dat de VNets allemaal door u worden beheerd. Een door de klant beheerde VNet fungeert als een gedeeld VNet waarmee andere spoke-VNets verbinding maken. Dit gecentraliseerde VNet wordt doorgaans gebruikt:
- Hybride connectiviteit met on-premises netwerken tot stand brengen.
- Voor verkeersinspectie en -segmentatie met behulp van Azure Firewall of virtuele netwerkapparaten van derden (NVA's).
- Voor het centraliseren van serviceinspectie van toepassingen, zoals Azure-toepassing Gateway met WAF.
In deze topologie plaatst u een Azure Firewall of een NVA in het hub-VNet en configureert u door de gebruiker gedefinieerde routes (UDR's) om verkeer van spoke-VNets en van uw on-premises netwerk naar het hub-VNet te leiden. De Azure Firewall of NVA kan ook fungeren als een route-engine om verkeer tussen virtuele spoke-netwerken te routeren. Een van de belangrijkste functies van een door de klant beheerde VNet-hub en spoke-model is de gedetailleerde controle van verkeer met behulp van UDR's en de mogelijkheid om routering, segmentatie en doorgifte van deze routes handmatig te wijzigen.
Azure Virtual WAN
Azure Virtual WAN is een door Azure beheerd hub-VNet met Route Service-exemplaren onder de schermen die toezicht houden op het doorgeven van routes van en naar alle vertakkingen en alle spokes. Het maakt een any-to-any-connectiviteit effectief mogelijk.
Een van de grote verschillen met een beheerd VNet (beheerde virtuele hub genoemd) is dat granulariteit van routeringsbeheer wordt geabstraheerd voor de gebruikers. Enkele van de belangrijkste voordelen zijn:
- Vereenvoudigd routebeheer met behulp van systeemeigen any-to-any-connectiviteit. Als u verkeersisolatie nodig hebt, kunt u aangepaste routetabellen of statische routes in de standaardroutetabel handmatig configureren.
- Alleen virtuele netwerkgateways, Azure Firewall en goedgekeurde NVA's of SD-WAN-apparaten (softwaregedefinieerde WAN) kunnen in de hub worden geïmplementeerd. Gecentraliseerde services zoals DNS en Application Gateways moeten zich op gewone spoke-VNets bevinden. Spokes moeten worden gekoppeld aan de virtuele hubs met behulp van VNet-peering.
Beheerde VNets zijn het meest geschikt voor:
- Grootschalige implementaties in verschillende regio's waarvoor transitconnectiviteit nodig is en die verkeerinspectie naar en vanaf elke locatie bieden.
- Meer dan 30 vestigingen of meer dan 100 IPsec-tunnels (Internet Protocol Security).
Enkele van de beste functies van Virtual WAN zijn de schaalbaarheidsrouteringsinfrastructuur en interconnectiviteit. Voorbeelden van schaalbaarheid zijn doorvoer van 50 Gbps per hub en 1000 vertakkingssites. Voor verdere schaalaanpassing kunnen meerdere virtuele hubs worden verbonden om een groter Virtual WAN-mesh-netwerk te maken. Een ander voordeel van Virtual WAN is de mogelijkheid om de routering voor verkeersinspectie te vereenvoudigen door voorvoegsels met een klik op een knop te injecteren.
Elk ontwerp heeft zijn eigen voor- en nadelen. De juiste keuze moet worden bepaald op basis van de verwachte toekomstige vereisten voor groei en beheeroverhead.
Stap 2: Inspectie van oost-westverkeer implementeren
Oost-west-verkeersstromen omvatten VNet-naar-VNet en VNet-naar-on-premises. Als u verkeer tussen oost-west wilt inspecteren, kunt u een Azure Firewall of een NVA implementeren in het virtuele hubnetwerk. Hiervoor moeten UDR's privéverkeer omleiden naar de Azure Firewall of NVA voor inspectie. Binnen hetzelfde VNet kunt u netwerkbeveiligingsgroepen gebruiken voor toegangsbeheer, maar als u meer controle nodig hebt met inspectie, kunt u een lokale firewall of een gecentraliseerde firewall in het virtuele hubnetwerk gebruiken met behulp van UDR's.
Met Azure Virtual WAN kunt u de Azure Firewall of een NVA in de virtuele hub hebben voor gecentraliseerde routering. U kunt Azure Firewall Manager of routeringsintentie gebruiken om al het privéverkeer te inspecteren. Als u inspectie wilt aanpassen, kunt u de Azure Firewall of NVA in de virtuele hub hebben om het gewenste verkeer te inspecteren. De eenvoudigste manier om verkeer in een Virtual WAN-omgeving te leiden, is door routeringsintentie voor privéverkeer in te schakelen. Met deze functie worden privéadresvoorvoegsels (RFC 1918) gepusht naar alle spokes die zijn verbonden met de hub. Verkeer dat is bestemd voor een privé-IP-adres, wordt omgeleid naar de virtuele hub voor inspectie.
Elke methode heeft zijn eigen voor- en nadelen. Het voordeel van het gebruik van routeringsintentie is vereenvoudiging van UDR-beheer, maar u kunt inspectie niet per verbinding aanpassen. Het voordeel van het niet gebruiken van routeringsintentie of Firewall Manager is dat u inspectie kunt aanpassen. Het nadeel is dat u geen verkeersinspectie tussen regio's kunt uitvoeren.
In het volgende diagram ziet u oost-west verkeer in de Azure-omgeving.
Voor inzicht in uw netwerkverkeer in Azure raadt Microsoft de implementatie van een Azure Firewall of NVA in uw VNet aan. Azure Firewall kan zowel netwerklaag- als toepassingslaagverkeer inspecteren. Bovendien biedt Azure Firewall extra functies zoals Inbraakdetectie en Preventiesysteem (IDPS), TLS-inspectie (Transport Layer Security), URL-filtering en webcategorieën filteren.
Het opnemen van Azure Firewall of een NVA in uw Azure-netwerk is van cruciaal belang voor het naleven van het principe Van schending van Zero Trust voor netwerken. Gezien het feit dat schendingen kunnen worden overgebracht wanneer gegevens een netwerk passeren, is het essentieel om te begrijpen en te bepalen welk verkeer is toegestaan om de bestemming te bereiken. Azure Firewall-, UDR's en netwerkbeveiligingsgroepen spelen een cruciale rol bij het inschakelen van een beveiligd verkeersmodel door verkeer tussen workloads toe te staan of te weigeren.
Voor meer informatie over uw VNet-verkeersstromen kunt u VNet-stroomlogboeken of NSG-stroomlogboeken inschakelen. Stroomlogboekgegevens worden opgeslagen in een Azure Storage-account waar u deze kunt openen en exporteren naar een visualisatieprogramma, zoals Azure Traffic Analytics. Met Azure Traffic Analytics kunt u onbekend of ongewenst verkeer vinden, het verkeersniveau en het bandbreedtegebruik bewaken of filteren op specifiek verkeer om uw toepassingsgedrag te begrijpen.
Stap 3: Inspectie van noord-zuidverkeer implementeren
Noord-zuidverkeer omvat meestal verkeer tussen particuliere netwerken en internet. Als u verkeer in noord-zuid in een hub- en spoke-topologie wilt inspecteren, kunt u UDR's gebruiken om het verkeer naar een Azure Firewall-exemplaar of een NVA te leiden. Voor dynamische advertenties kunt u een Azure Route Server gebruiken met een NVA die BGP ondersteunt om al het internetverkeer van VNets naar de NVA te leiden.
In Azure Virtual WAN kunt u de volgende algemene scenario's gebruiken om verkeer naar noord-zuid van de VNets naar de Azure Firewall of NVA te leiden die in virtuele hub worden ondersteund:
- Gebruik een NVA of Azure Firewall in de virtuele hub die wordt beheerd met routeringsintentie of met Azure Firewall Manager om verkeer naar noord-zuid te leiden.
- Als uw NVA niet wordt ondersteund in de virtuele hub, kunt u deze implementeren in een spoke-VNet en het verkeer omleiden met UDR's voor inspectie. Hetzelfde geldt voor Azure Firewall. U kunt ook BGP-peering van een NVA in een spoke met de virtuele hub om een standaardroute te adverteren (0.0.0.0/0).
In het volgende diagram ziet u noord-zuidverkeer tussen een Azure-omgeving en internet.
Azure biedt de volgende netwerkservices die zijn ontworpen om inzicht te bieden in het netwerkverkeer dat uw Azure-omgeving binnenkomt en verlaat.
Azure DDoS-beveiliging
Azure DDoS Protection kan worden ingeschakeld op elk VNet met openbare IP-resources om mogelijke DDoS-aanvallen (Distributed Denial of Service) te bewaken en te beperken. Dit beperkingsproces omvat het analyseren van het verkeergebruik op basis van vooraf gedefinieerde drempelwaarden in het DDoS-beleid, gevolgd door deze informatie vast te leggen voor nader onderzoek. Om beter voorbereid te zijn op toekomstige incidenten, biedt Azure DDoS Protections de mogelijkheid om simulaties uit te voeren op uw openbare IP-adressen en -services, waardoor waardevolle inzichten worden geboden in de tolerantie en reactie van uw toepassing tijdens een DDoS-aanval.
Azure Firewall
Azure Firewall biedt een verzameling hulpprogramma's voor het bewaken, controleren en analyseren van netwerkverkeer.
Logboeken en metrische gegevens
Azure Firewall verzamelt gedetailleerde logboeken door integratie met Azure Log Analytics-werkruimten. U kunt Kusto-querytaal -query's (KQL) gebruiken om extra informatie te extraheren over belangrijke categorieën regels, zoals toepassings- en netwerkregels. U kunt ook logboeken ophalen die specifiek zijn voor resources die zich uitbreiden op schema's en structuren van het netwerkniveau naar bedreigingsinformatie en IDPS-logboeken. Zie gestructureerde logboeken van Azure Firewall voor meer informatie.
Werkmappen
Azure Firewall biedt werkmappen die gegevens presenteren die worden verzameld met behulp van grafieken van activiteiten in de loop van de tijd. Dit hulpprogramma helpt u ook bij het visualiseren van meerdere Azure Firewall-resources door ze te combineren in een geïntegreerde interface. Zie Azure Firewall-werkmappen gebruiken voor meer informatie.
Beleidsanalyse
Azure Firewall Policy Analytics biedt een overzicht van de beleidsregels die u hebt geïmplementeerd en op basis van de beleidsinzichten, regelanalyse en verkeersstroomanalyse. Het beleid wordt afgestemd en gewijzigd om het geïmplementeerde beleid aan te passen aan verkeerspatronen en bedreigingen. Zie Azure Firewall Policy Analytics voor meer informatie.
Deze mogelijkheden zorgen ervoor dat Azure Firewall een robuuste oplossing blijft voor het beveiligen van netwerkverkeer door beheerders de hulpprogramma's te bieden die nodig zijn voor effectief netwerkbeheer.
Application Gateway
Application Gateway biedt belangrijke mogelijkheden voor het bewaken, controleren en analyseren van verkeer voor beveiligingsdoeleinden. Door Log Analytics in te schakelen en vooraf gedefinieerde of aangepaste KQL-query's te gebruiken, kunt u HTTP-foutcodes bekijken , inclusief die in de bereiken 4xx en 5xx die essentieel zijn voor het identificeren van problemen.
De toegangslogboeken van Application Gateway bieden ook essentiële inzichten in belangrijke beveiligingsparameters, zoals CLIENT-IP-adressen, aanvraag-URI's, HTTP-versie en SSL/TLS-specifieke configuratiewaarden zoals protocollen, TLS-coderingssuites en wanneer SSL-versleuteling is ingeschakeld.
Azure Front Door
Azure Front Door maakt gebruik van Anycast TCP om verkeer te routeren naar het dichtstbijzijnde datacenterpunt van aanwezigheid (PoP). Net als bij een conventionele load balancer kunt u een Azure Firewall of NVA plaatsen in de Back-endpool van Azure Front Door, ook wel bekend als de oorsprong ervan. De enige vereiste is dat het IP-adres in de oorsprong openbaar is.
Zodra u Azure Front Door hebt geconfigureerd voor het ontvangen van aanvragen, worden er verkeersrapporten gegenereerd om te laten zien hoe het Azure Front Door-profiel zich gedraagt. Wanneer u de Azure Front Door Premium-laag gebruikt, zijn beveiligingsrapporten ook beschikbaar om overeenkomsten met WAF-regels weer te geven, waaronder OWASP-regels (Open Worldwide Application Security Project), botbeveiligingsregels en aangepaste regels.
Azure WAF
Azure WAF is een extra beveiligingsfunctie die laag 7-verkeer inspecteert en kan worden geactiveerd voor zowel Application Gateway als Azure Front Door met bepaalde lagen. Dit biedt een extra beveiligingslaag voor verkeer dat niet afkomstig is van Azure. U kunt de WAF configureren in zowel preventie- als detectiemodi met behulp van OWASP-kernregeldefinities.
Bewakingsprogramma's
Voor uitgebreide bewaking van noord-zuid-verkeersstromen kunt u hulpprogramma's zoals NSG-stroomlogboeken, Azure Traffic Analytics en VNet-stroomlogboeken gebruiken om de zichtbaarheid van het netwerk te verbeteren.
Aanbevolen training
- Virtuele netwerken configureren en beheren voor Azure-beheerders
- Inleiding tot Azure Web Application Firewall
- Inleiding tot Azure Virtual WAN
- Inleiding tot Azure Front Door
- Inleiding tot Azure-toepassing Gateway
Volgende stappen
Zie voor meer informatie over het toepassen van Zero Trust op Azure-netwerken:
- Netwerkcommunicatie op basis van Azure versleutelen
- Segmenteer netwerkcommunicatie op basis van Azure
- Verouderde netwerkbeveiligingstechnologie stoppen
- Netwerken beveiligen met Zero Trust
- Virtuele spoke-netwerken in Azure
- Virtuele hubnetwerken in Azure
- Virtuele spoke-netwerken met Azure PaaS-services
- Azure Virtual WAN
Verwijzingen
Raadpleeg deze koppelingen voor meer informatie over de verschillende services en technologieën die in dit artikel worden genoemd.
- Azure DDoS-beveiliging
- Azure Firewall
- Azure Web Application Firewall
- Azure Virtual WAN
- Azure Application Gateway
- Door de gebruiker gedefinieerde routes
- Azure Firewall Manager
- VNet-stroomlogboeken
- NSG-stroomlogboeken
- Azure Traffic Analytics
- Azure Route Server
- Gestructureerde Logboeken van Azure Firewall
- Azure Firewall-werkmappen gebruiken
- Azure Firewall Policy Analytics
- Azure Front Door
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor