Zero Trust-principes toepassen op het versleutelen van netwerkcommunicatie op basis van Azure

Dit artikel bevat richtlijnen voor het toepassen van de principes van Zero Trust voor het versleutelen van netwerkcommunicatie naar, van en tussen Azure-omgevingen op de volgende manieren.

Zero Trust-principe	Definitie	Ontmoet door
Expliciet verifiëren	Altijd verifiëren en autoriseren op basis van alle beschikbare gegevenspunten.	Het gebruik van beleid voor voorwaardelijke toegang voor uw Azure VPN Gateway-verbindingen en Secure Shell (SSH) en Remote Desktop Protocol (RDP) voor verbindingen met uw gebruikers-naar-virtuele machine.
Toegang met minimale bevoegdheden gebruiken	Beperk gebruikerstoegang met Just-In-Time en Just-Enough-Access (JIT/JEA), op risico gebaseerd adaptief beleid en gegevensbeveiliging.	Configureer uw MSEE-apparaten (Microsoft Enterprise Edge) voor het gebruik van een statische verbindingskoppelingssleutel (CAK) voor Azure ExpressRoute met directe poorten en het gebruik van een beheerde identiteit om ExpressRoute-circuitresources te verifiëren.
Stel dat er sprake is van een schending	Minimaliseer straal en segmenttoegang. Controleer end-to-end-versleuteling en gebruik analyse om zichtbaarheid te krijgen, detectie van bedreigingen te stimuleren en verdediging te verbeteren.	Netwerkverkeer beveiligen met versleutelingsmethoden en -protocollen die vertrouwelijkheid, integriteit en authenticiteit van uw gegevens tijdens overdracht bieden. Azure Monitor gebruiken om metrische gegevens en waarschuwingen voor ExpressRoute-netwerkprestaties te bieden. Azure Bastion gebruiken om afzonderlijke sessies van de Bastion-service te beheren en een verbroken verbinding te verwijderen of af te dwingen.

De versleutelingsniveaus voor netwerkverkeer zijn:

• Netwerklaagversleuteling

  • Communicatie van internet of uw on-premises netwerk naar Azure-VNets en virtuele machines beveiligen en verifiëren

  • Communicatie binnen en tussen Azure-VNets beveiligen en verifiëren

• Versleuteling van toepassingslaag

  • Beveiliging voor Azure-webtoepassingen

• Beveiliging voor workloads die worden uitgevoerd op virtuele Azure-machines

Referentiearchitectuur

In het volgende diagram ziet u de referentiearchitectuur voor deze Zero Trust-richtlijnen voor versleutelde communicatie tussen gebruikers en beheerders on-premises of op internet en onderdelen in de Azure-omgeving voor de stappen die in dit artikel worden beschreven.

In het diagram komen de getallen overeen met de stappen in de volgende secties.

Wat staat er in dit artikel?

Zero Trust-principes worden toegepast in de referentiearchitectuur, van gebruikers en beheerders op internet of uw on-premises netwerk naar en binnen de Azure-cloud. In de volgende tabel worden de aanbevelingen beschreven voor het waarborgen van de versleuteling van netwerkverkeer in deze architectuur.

Stap	Taak	Zero Trust-principe(en) toegepast
1	Netwerklaagversleuteling implementeren.	Expliciet verifiëren Toegang met minimale bevoegdheden gebruiken Stel dat er sprake is van een schending
2	Beveilig en verifieer communicatie van een on-premises netwerk naar Azure VNets.	Expliciet verifiëren Stel dat er sprake is van een schending
3	Beveilig en verifieer communicatie binnen en tussen Azure-VNets.	Stel dat er sprake is van een schending
4	Versleuteling van toepassingslagen implementeren.	Expliciet verifiëren Stel dat er sprake is van een schending
5	Gebruik Azure Bastion om virtuele Azure-machines te beveiligen.	Stel dat er sprake is van een schending

Stap 1: Netwerklaagversleuteling implementeren

Netwerklaagversleuteling is essentieel bij het toepassen van Zero Trust-principes op uw on-premises en Azure-omgeving. Wanneer het netwerkverkeer via internet gaat, moet u er altijd van uitgaan dat er sprake is van verkeersonderschepping door aanvallers en dat uw gegevens worden blootgesteld of gewijzigd voordat ze de bestemming bereiken. Omdat serviceproviders bepalen hoe gegevens via internet worden gerouteerd, wilt u ervoor zorgen dat de privacy en integriteit van uw gegevens behouden blijven vanaf het moment dat uw on-premises netwerk helemaal naar de cloud van Microsoft gaat.

In het volgende diagram ziet u de referentiearchitectuur voor het implementeren van netwerklaagversleuteling.

In de volgende twee secties bespreken we Internet Protocol Security (IPsec) en Media Access Control Security (MACsec), welke Azure-netwerkservices deze protocollen ondersteunen en hoe u ervoor kunt zorgen dat ze worden gebruikt.

IPsec

IPsec is een groep protocollen die beveiliging biedt voor IP-communicatie (Internet Protocol). Het verifieert en versleutelt netwerkpakketten met behulp van een set versleutelingsalgoritmen. IPSec is het beveiligingscapsulationprotocol dat wordt gebruikt voor het tot stand brengen van virtuele particuliere netwerken (VPN's). Een IPsec VPN-tunnel bestaat uit twee fasen, fase 1, bekend als hoofdmodus en fase 2, ook wel snelle modus genoemd.

Fase 1 van IPsec is tunnelinrichting, waarbij peers onderhandelen over parameters voor de IKE-beveiligingskoppeling (Internet Key Exchange), zoals versleuteling, verificatie, hashing en Diffie-Hellman-algoritmen. Als u hun identiteiten wilt verifiëren, wisselen peers een vooraf gedeelde sleutel uit. Fase 1 van IPsec kan in twee modi worden uitgevoerd: de hoofdmodus of de agressieve modus. Azure VPN Gateway ondersteunt twee versies van IKE, IKEv1 en IKEv2 en werkt alleen in de hoofdmodus. De hoofdmodus zorgt voor de versleuteling van de identiteit van de verbinding tussen de Azure VPN Gateway en het on-premises apparaat.

In fase 2 van IPsec onderhandelen peers over beveiligingsparameters voor gegevensoverdracht. In deze fase zijn beide peers het eens met de versleutelings- en verificatiealgoritmen, de levensduurwaarde van de beveiligingskoppeling (SA) en verkeersselectors (TS) die bepalen welk verkeer wordt versleuteld via de IPsec-tunnel. De tunnel die in fase 1 is gemaakt, fungeert als een veilig kanaal voor deze onderhandeling. IPsec kan IP-pakketten beveiligen met behulp van het AH-protocol (Authentication Header) of het Esp-protocol (Security Payload). AH biedt integriteit en verificatie, terwijl ESP ook vertrouwelijkheid (versleuteling) biedt. IPsec fase 2 kan worden uitgevoerd in de transportmodus of tunnelmodus. In de transportmodus wordt alleen de nettolading van het IP-pakket versleuteld, terwijl in de tunnelmodus het volledige IP-pakket wordt versleuteld en er een nieuwe IP-header wordt toegevoegd. IPsec fase 2 kan worden ingesteld op IKEv1 of IKEv2. De huidige IPsec-implementatie van Azure VPN Gateway ondersteunt alleen ESP in de tunnelmodus.

Enkele Azure-services die IPsec ondersteunen, zijn:

• Azure VPN Gateway

  • Site-naar-site-VPN-verbindingen

  • VNet-naar-VNet-verbindingen

  • Punt-naar-site-verbindingen

• Azure Virtual WAN

  • VPN-sites

  • VPN-configuraties voor gebruikers

Er zijn geen instellingen die u moet wijzigen om IPsec in te schakelen voor deze services. Ze zijn standaard ingeschakeld.

MACsec en Azure Key Vault

MACsec (IEEE 802.1AE) is een netwerkbeveiligingsstandaard die het principe Van een schending van Zero Trust aannemen toepast op de gegevenskoppelingslaag door verificatie en versleuteling via een Ethernet-koppeling te bieden. MACsec gaat ervan uit dat elk netwerkverkeer, zelfs in hetzelfde lokale netwerk, kan worden aangetast of onderschept door kwaadwillende actoren. MACsec controleert en beveiligt elk frame met behulp van een beveiligingssleutel die wordt gedeeld tussen twee netwerkinterfaces. Deze configuratie kan alleen worden uitgevoerd tussen twee apparaten die geschikt zijn voor MACsec.

MACsec is geconfigureerd met connectiviteitskoppelingen. Dit zijn een set kenmerken die netwerkinterfaces gebruiken om binnenkomende en uitgaande beveiligingskanalen te maken. Na het maken wordt verkeer via deze kanalen uitgewisseld via twee met MACsec beveiligde koppelingen. MACsec heeft twee verbindingsmodi:

• Cak-modus (Static Connectivity Association Key): MACsec beveiligde koppelingen worden tot stand gebracht met behulp van een vooraf gedeelde sleutel die een CKN (Connectivity Association Key Name) en de toegewezen CAK bevat. Deze sleutels worden aan beide uiteinden van de koppeling geconfigureerd.
• Dynamische CAK-modus: de beveiligingssleutels worden dynamisch gegenereerd met behulp van het 802.1x-verificatieproces, dat een gecentraliseerd verificatieapparaat kan gebruiken, zoals een RADIUS-server (Remote Authentication Dial-In User Service).

Microsoft Enterprise Edge-apparaten (MSEE) ondersteunen statische CAK door de CAK en CKN op te slaan in een Azure Key Vault wanneer u Azure ExpressRoute configureert met directe poorten. Als u toegang wilt krijgen tot de waarden in Azure Key Vault, configureert u de beheerde identiteit om de ExpressRoute-circuitresource te verifiëren. Deze benadering volgt het principe Zero Trust met minimale bevoegdheden gebruiken, omdat alleen geautoriseerde apparaten toegang hebben tot de sleutels uit De Azure Key Vault. Zie MACsec configureren op ExpressRoute Direct-poorten voor meer informatie.

Stap 2: Communicatie van een on-premises netwerk naar Azure-VNets beveiligen en verifiëren

Naarmate cloudmigratie steeds vaker voorkomt in bedrijven van verschillende schaalaanpassingen, speelt hybride connectiviteit een belangrijke rol. Het is van cruciaal belang om niet alleen te beveiligen en te beveiligen, maar ook om de netwerkcommunicatie tussen uw on-premises netwerk en Azure te controleren en te controleren.

In het volgende diagram ziet u de referentiearchitectuur voor het beveiligen en verifiëren van communicatie van een on-premises netwerk naar Azure VNets.

Azure biedt twee opties om uw on-premises netwerk te verbinden met resources in een Azure-VNet:

• Met Azure VPN Gateway kunt u een site-naar-site VPN-tunnel maken met behulp van IPsec om netwerkcommunicatie tussen uw netwerk in centrale of externe kantoren en een Azure-VNet te versleutelen en te verifiëren. Ook kunnen afzonderlijke clients een punt-naar-site-verbinding tot stand brengen voor toegang tot resources in een Azure-VNet zonder EEN VPN-apparaat. Voor naleving van Zero Trust configureert u entra-id-verificatie en beleid voor voorwaardelijke toegang voor uw Azure VPN Gateway-verbindingen om de identiteit en naleving van de verbonden apparaten te controleren. Zie Microsoft Tunnel VPN-gateway gebruiken met beleid voor voorwaardelijke toegang voor meer informatie.

• Azure ExpressRoute biedt een privéverbinding met hoge bandbreedte waarmee u uw on-premises netwerk kunt uitbreiden naar Azure met hulp van een connectiviteitsprovider. Omdat netwerkverkeer niet via het openbare internet wordt verzonden, worden gegevens niet standaard versleuteld. Configureer een IPsec-tunnel om uw verkeer via ExpressRoute te versleutelen. Houd er echter rekening mee dat bij het uitvoeren van IPsec-tunnels via ExpressRoute de bandbreedte van de tunnel beperkt is en u mogelijk meerdere tunnels moet uitvoeren om overeen te komen met de bandbreedte van het ExpressRoute-circuit. Zie site-naar-site-VPN-verbindingen via persoonlijke ExpressRoute-peering - Azure VPN Gateway voor meer informatie.

  Als u ExpressRoute Direct-poorten gebruikt, kunt u de netwerkbeveiliging verhogen door verificatie in te schakelen bij het tot stand brengen van BGP-peers of het configureren van MACsec om laag 2-communicatie te beveiligen. MACsec biedt versleuteling voor Ethernet-frames, waardoor de vertrouwelijkheid, integriteit en authenticiteit van gegevens tussen uw edge-router en de edge-router van Microsoft worden gegarandeerd.

  Azure ExpressRoute ondersteunt ook Azure Monitor voor metrische gegevens en waarschuwingen voor netwerkprestaties.

Versleuteling kan uw gegevens beschermen tegen niet-geautoriseerde interceptie, maar er wordt ook een extra verwerkingslaag geïntroduceerd voor het versleutelen en ontsleutelen van netwerkverkeer dat van invloed kan zijn op de prestaties. Netwerkverkeer via internet kan ook onvoorspelbaar zijn omdat het moet reizen via meerdere netwerkapparaten die netwerklatentie kunnen veroorzaken. Om prestatieproblemen te voorkomen, raadt Microsoft aan ExpressRoute te gebruiken omdat het betrouwbare netwerkprestaties en bandbreedtetoewijzing biedt die u kunt aanpassen voor uw workload.

Houd rekening met de volgende vragen bij het kiezen tussen Azure VPN Gateway of ExpressRoute:

1. Welke soorten bestanden en toepassingen hebt u toegang tot uw on-premises netwerk en Azure? Hebt u consistente bandbreedte nodig voor het overdragen van grote hoeveelheden gegevens?
2. Hebt u consistente en lage latentie nodig om uw toepassingen optimaal te laten presteren?
3. Moet u de netwerkprestaties en -status van uw hybride connectiviteit bewaken?

Als u ja hebt beantwoord op een van deze vragen, moet Azure ExpressRoute uw primaire methode zijn om uw on-premises netwerk te verbinden met Azure.

Er zijn twee veelvoorkomende scenario's waarin ExpressRoute en Azure VPN Gateway naast elkaar kunnen bestaan:

• Azure VPN Gateway kan worden gebruikt om uw filialen te verbinden met Azure terwijl uw hoofdkantoor is verbonden met ExpressRoute.
• U kunt Azure VPN Gateway ook gebruiken als back-upverbinding met Azure voor uw centrale kantoor als uw ExpressRoute-service een storing heeft.

Stap 3: Communicatie binnen en tussen Azure-VNets beveiligen en verifiëren

Verkeer in Azure heeft een onderliggend versleutelingsniveau. Wanneer verkeer tussen VNets in verschillende regio's wordt verplaatst, gebruikt Microsoft MACsec om peeringverkeer op de gegevenskoppelingslaag te versleutelen en te verifiëren.

In het volgende diagram ziet u de referentiearchitectuur voor het beveiligen en verifiëren van communicatie binnen en tussen Azure-VNets.

Versleuteling is echter niet voldoende om Zero Trust te garanderen. U moet ook de netwerkcommunicatie binnen en tussen Azure-VNets controleren en bewaken. Verdere versleuteling en verificatie tussen VNets zijn mogelijk met behulp van Azure VPN Gateway of virtuele netwerkapparaten (NVA's), maar is niet gebruikelijk. Microsoft raadt u aan uw netwerktopologie te ontwerpen voor het gebruik van een gecentraliseerd verkeersinspectiemodel dat gedetailleerd beleid kan afdwingen en afwijkingen kan detecteren.

Als u de overhead van het configureren van een VPN-gateway of virtueel apparaat wilt verminderen, schakelt u de VNet-versleutelingsfunctie in voor bepaalde grootten van virtuele machines om verkeer tussen virtuele machines op hostniveau, binnen een VNet en tussen VNet-peerings te versleutelen en te verifiëren.

Stap 4: Versleuteling implementeren op de toepassingslaag

Versleuteling van toepassingslagen speelt een belangrijke factor af voor Zero Trust die vereist dat alle gegevens en communicatie worden versleuteld wanneer gebruikers interactie hebben met webtoepassingen of apparaten. Versleuteling van de toepassingslaag zorgt ervoor dat alleen geverifieerde en vertrouwde entiteiten toegang hebben tot webtoepassingen of -apparaten.

In het volgende diagram ziet u de referentiearchitectuur voor het implementeren van versleuteling op de toepassingslaag.

Een van de meest voorkomende voorbeelden van versleuteling op de toepassingslaag is Hypertext Transfer Protocol Secure (HTTPS), waarmee gegevens worden versleuteld tussen een webbrowser en een webserver. HTTPS maakt gebruik van het TLS-protocol (Transport Layer Security) voor het versleutelen van client-servercommunicatie en maakt gebruik van een digitaal TLS-certificaat om de identiteit en betrouwbaarheid van de website of het domein te verifiëren.

Een ander voorbeeld van beveiliging op de toepassingslaag is Secure Shell (SSH) en Remote Desktop Protocol (RDP) waarmee gegevens tussen de client en de server worden versleuteld. Deze protocollen ondersteunen ook beleid voor meervoudige verificatie en voorwaardelijke toegang om ervoor te zorgen dat alleen geautoriseerde en compatibele apparaten of gebruikers toegang hebben tot externe bronnen. Zie stap 5 voor informatie over het beveiligen van SSH- en RDP-verbindingen met virtuele Azure-machines.

Beveiliging voor Azure-webtoepassingen

U kunt Azure Front Door of Azure-toepassing Gateway gebruiken om uw Azure-webtoepassingen te beveiligen.

Azure Front Door

Azure Front Door is een wereldwijde distributieservice waarmee de levering van inhoud aan eindgebruikers wordt geoptimaliseerd via de edge-locaties van Microsoft. Met functies zoals WaF (Web Application Firewall) en De Private Link-service kunt u schadelijke aanvallen op uw webtoepassingen aan de rand van het Microsoft-netwerk detecteren en blokkeren terwijl u privé toegang hebt tot uw origins met behulp van het interne Microsoft-netwerk.

Om uw gegevens te beveiligen, wordt verkeer naar Azure Front Door-eindpunten beveiligd met HTTPS met end-to-end TLS voor al het verkeer dat naar en van de eindpunten gaat. Verkeer wordt versleuteld van de client naar de oorsprong en van de oorsprong naar de client.

Azure Front Door verwerkt HTTPS-aanvragen en bepaalt welk eindpunt in het profiel de bijbehorende domeinnaam heeft. Vervolgens wordt het pad gecontroleerd en wordt bepaald welke routeringsregel overeenkomt met het pad van de aanvraag. Als caching is ingeschakeld, controleert Azure Front Door de cache om te zien of er een geldig antwoord is. Als er geen geldig antwoord is, selecteert Azure Front Door de beste oorsprong die de aangevraagde inhoud kan leveren. Voordat de aanvraag naar de oorsprong wordt verzonden, kan een regelset worden toegepast op de aanvraag om de header, querytekenreeks of oorspronkelijke bestemming te wijzigen.

Azure Front Door ondersteunt zowel front-end- als back-end TLS. Front-end TLS versleutelt verkeer tussen de client en Azure Front Door. Back-end TLS versleutelt verkeer tussen Azure Front Door en de oorsprong. Azure Front Door ondersteunt TLS 1.2 en TLS 1.3. U kunt Azure Front Door configureren om een aangepast TLS-certificaat te gebruiken of een certificaat te gebruiken dat wordt beheerd door Azure Front Door.

Notitie

U kunt ook de Private Link-functie gebruiken voor connectiviteit met NVA's voor verdere pakketinspectie.

Azure Application Gateway

Azure-toepassing Gateway is een regionale load balancer die op Laag 7 werkt. Hiermee wordt webverkeer gerouteerd en gedistribueerd op basis van HTTP-URL-kenmerken. Het kan verkeer routeren en distribueren met behulp van drie verschillende benaderingen:

• Alleen HTTP: Application Gateway ontvangt en routeert binnenkomende HTTP-aanvragen naar de juiste bestemming in niet-versleutelde vorm.
• SSL-beëindiging: Application Gateway ontsleutelt binnenkomende HTTPS-aanvragen op exemplaarniveau, inspecteert deze en stuurt ze niet-versleuteld naar de bestemming.
• End-to-end TLS: Application Gateway ontsleutelt binnenkomende HTTPS-aanvragen op exemplaarniveau, inspecteert ze en versleutelt ze opnieuw voordat ze naar de bestemming worden gerouteerd.

De veiligste optie is end-to-end TLS, waarmee versleuteling en verzending van gevoelige gegevens mogelijk is door het gebruik van verificatiecertificaten of vertrouwde basiscertificaten te vereisen. Het vereist ook het uploaden van deze certificaten naar de back-endservers en ervoor zorgen dat deze back-endservers bekend zijn bij Application Gateway. Zie End-to-end TLS configureren met Application Gateway voor meer informatie.

Daarnaast kunnen on-premises gebruikers of gebruikers op virtuele machines in een ander VNet gebruikmaken van de interne front-end van Application Gateway met dezelfde TLS-mogelijkheden. Naast versleuteling raadt Microsoft u aan WAF altijd in te schakelen voor meer front-endbeveiliging voor uw eindpunten.

Stap 5: Azure Bastion gebruiken om virtuele Azure-machines te beveiligen

Azure Bastion is een beheerde PaaS-service waarmee u veilig verbinding kunt maken met uw virtuele machines via een TLS-verbinding. Deze verbinding kan tot stand worden gebracht vanuit Azure Portal of via een systeemeigen client naar het privé-IP-adres op de virtuele machine. Voordelen van het gebruik van Bastion zijn onder andere:

• Virtuele Azure-machines hebben geen openbaar IP-adres nodig. Verbinding maken ionen zijn via TCP-poort 443 voor HTTPS en kunnen de meeste firewalls passeren.
• Virtuele machines worden beveiligd tegen poortscans.
• Het Azure Bastion-platform wordt voortdurend bijgewerkt en beschermd tegen zero-day exploits.

Met Bastion kunt u de RDP- en SSH-verbinding met uw virtuele machine beheren vanaf één toegangspunt. U kunt afzonderlijke sessies beheren vanuit de Bastion-service in Azure Portal. U kunt ook een verbinding met een actieve externe sessie verwijderen of forceren als u vermoedt dat een gebruiker geen verbinding met die computer moet maken.

In het volgende diagram ziet u de referentiearchitectuur voor het gebruik van Azure Bastion om virtuele Azure-machines te beveiligen.

Als u uw virtuele Azure-machine wilt beveiligen, implementeert u Azure Bastion en gaat u RDP en SSH gebruiken om verbinding te maken met uw virtuele machines met hun privé-IP-adressen.

Aanbevolen training

• Verbinding maken uw on-premises netwerk naar Azure met VPN Gateway
• Verbinding maken uw on-premises netwerk naar het globale Microsoft-netwerk met behulp van ExpressRoute
• Inleiding tot Azure Front Door
• Azure-toepassing-gateway configureren
• Inleiding tot Azure Bastion

Volgende stappen

Zie voor meer informatie over het toepassen van Zero Trust op Azure-netwerken:

• Netwerken beveiligen met Zero Trust
• Virtuele spoke-netwerken in Azure
• Virtuele hubnetwerken in Azure
• Virtuele spoke-netwerken met Azure PaaS-services
• Azure Virtual WAN

Verwijzingen

Raadpleeg deze koppelingen voor meer informatie over de verschillende services en technologieën die in dit artikel worden genoemd.

• Azure VPN Gateway
• Azure Virtual WAN
• MACsec configureren op ExpressRoute Direct-poorten
• Microsoft Tunnel VPN-gateway gebruiken met beleid voor voorwaardelijke toegang
• Azure ExpressRoute
• VNet-versleuteling
• Azure Front Door
• Application Gateway
• Azure Bastion