Netwerken beveiligen met Zero Trust
Big data biedt nieuwe mogelijkheden om nieuwe inzichten af te leiden en een concurrentievoordeel te behalen. We stappen af van een tijdperk waarin netwerken duidelijk waren gedefinieerd en meestal specifiek waren voor een bepaalde locatie. De cloud, mobiele apparaten en andere eindpunten verruimen de grenzen en veranderen het paradigma. Er is nu niet noodzakelijkerwijs een ingesloten/gedefinieerd netwerk om te beveiligen. In plaats daarvan is er een uitgebreid portfolio van apparaten en netwerken, allemaal gekoppeld door de cloud.
In plaats van te geloven dat alles achter de bedrijfsfirewall veilig is, gaat een end-to-end Zero Trust strategie ervan uit dat schendingen onvermijdelijk zijn. Dit betekent dat u elke aanvraag moet verifiëren alsof deze afkomstig is van een onbeheerd netwerk. Identiteitsbeheer speelt hierbij een cruciale rol.
In het Zero Trust-model zijn er drie belangrijke doelstellingen als het gaat om het beveiligen van uw netwerken:
Wees klaar om aanvallen af te handelen voordat ze plaatsvinden.
Minimaliseer de omvang van de schade en hoe snel deze zich verspreidt.
Vergroot de moeilijkheid om uw cloudvoetafdruk in gevaar te brengen.
Om dit mogelijk te maken, volgen we drie Zero Trust principes:
Controleer expliciet. Verifieer en autoriseer altijd op basis van alle beschikbare gegevenspunten, waaronder gebruikersidentiteit, locatie, apparaatstatus, service of workload, gegevensclassificatie en afwijkingen.
Gebruik toegang met minimale bevoegdheden. Beperk gebruikerstoegang met Just-In-Time en Just-Enough-Access (JIT/JEA), op risico gebaseerd adaptief beleid en gegevensbescherming om zowel gegevens als productiviteit te beschermen.
Ga uit van schending. Minimaliseer de straal van de ontploffing voor inbreuken en voorkom zijwaartse verplaatsing door de toegang te segmenteren per netwerk, gebruiker, apparaten en toepassingsbewustheid. Controleer of alle sessies end-to-end zijn versleuteld. Gebruik analyses om zichtbaarheid te krijgen, bedreigingsdetectie te stimuleren en de verdediging te verbeteren.
Implementatiedoelstellingen voor netwerk Zero Trust
Voordat de meeste organisaties hun Zero Trust beginnen, hebben ze netwerkbeveiliging die wordt gekenmerkt door het volgende:
-
Weinig netwerkbeveiligingsperimeters en open, platte netwerken.
-
Minimale bescherming tegen bedreigingen en filteren van statisch verkeer.
-
Niet-versleuteld intern verkeer.
Bij het implementeren van een end-to-end Zero Trust framework voor het beveiligen van netwerken, raden we u aan om u eerst te richten op deze initiële implementatiedoelstellingen: |
|
|
II.Bedreigingsbeveiliging: cloudeigen filteren en beveiliging voor bekende bedreigingen. III.Versleuteling: intern verkeer van gebruiker naar app wordt versleuteld. |
Nadat deze zijn voltooid, richt u zich op deze aanvullende implementatiedoelstellingen: |
|
|
Implementatiehandleiding voor netwerken Zero Trust
Deze handleiding begeleidt u door de stappen die nodig zijn om uw netwerken te beveiligen volgens de principes van een Zero Trust beveiligingsframework.
|
Initiële implementatiedoelstellingen |
I. Netwerksegmentatie: veel micro-perimeters voor inkomend/uitgaand verkeer in de cloud met enige microsegmentatie
Organisaties moeten niet slechts één grote pijp in en uit hun netwerk hebben. In een Zero Trust aanpak worden netwerken in plaats daarvan gesegmenteerd in kleinere eilanden waar specifieke workloads zijn opgenomen. Elk segment heeft zijn eigen besturingselementen voor inkomend en uitgaand verkeer om de 'blast radius' van onbevoegde toegang tot gegevens te minimaliseren. Door softwaregedefinieerde perimeters met gedetailleerde besturingselementen te implementeren, verhoogt u de moeilijkheid voor onbevoegde actoren om door te geven in uw netwerk, waardoor de laterale verplaatsing van bedreigingen wordt verminderd.
Er is geen architectuurontwerp dat voldoet aan de behoeften van alle organisaties. U hebt de mogelijkheid tussen enkele algemene ontwerppatronen voor het segmenteren van uw netwerk volgens het Zero Trust-model.
In deze implementatiehandleiding doorloopt u de stappen voor het realiseren van een van deze ontwerpen: Microsegmentatie.
Met microsegmentatie kunnen organisaties verder gaan dan eenvoudige gecentraliseerde perimeters op basis van netwerken naar uitgebreide en gedistribueerde segmentatie met behulp van softwaregedefinieerde microperimeter.
Toepassingen worden gepartitioneerd naar verschillende Virtuele Azure-netwerken (VNets) en verbonden met behulp van een hub-spoke-model
Volg deze stappen:
Maak toegewezen virtuele netwerken voor verschillende toepassingen en/of toepassingsonderdelen.
Maak een centraal VNet om de beveiligingspostuur voor connectiviteit tussen apps in te stellen en de app-VNets te verbinden in een hub-and-spoke-architectuur.
Implementeer Azure Firewall in het hub-VNet om verkeer tussen de VNets te controleren en te beheren.
II. Bedreigingsbeveiliging: Cloudeigen filtering en beveiliging voor bekende bedreigingen
Cloudtoepassingen die eindpunten hebben geopend voor externe omgevingen, zoals internet of uw on-premises footprint, lopen het risico op aanvallen vanuit die omgevingen. Het is daarom noodzakelijk dat u het verkeer scant op schadelijke nettoladingen of logica.
Deze typen bedreigingen kunnen worden onderverdeeld in twee algemene categorieën:
Bekende aanvallen. Bedreigingen die zijn gedetecteerd door uw softwareprovider of de grotere community. In dergelijke gevallen is de aanvalshandtekening beschikbaar en moet u ervoor zorgen dat elke aanvraag wordt gecontroleerd op basis van die handtekeningen. De sleutel is om uw detectie-engine snel bij te werken met eventuele nieuw geïdentificeerde aanvallen.
Onbekende aanvallen. Dit zijn bedreigingen die niet helemaal overeenkomen met een bekende handtekening. Deze typen bedreigingen omvatten zero-day-beveiligingsproblemen en ongebruikelijke patronen in aanvraagverkeer. De mogelijkheid om dergelijke aanvallen te detecteren, is afhankelijk van hoe goed uw verdediging weet wat normaal is en wat niet. Uw verdediging moet voortdurend patronen leren en bijwerken naarmate uw bedrijf (en het bijbehorende verkeer) zich ontwikkelt.
Voer de volgende stappen uit om u te beschermen tegen bekende bedreigingen:
Voor eindpunten met HTTP/S-verkeer beveiligt u met behulp van Azure Web Application Firewall (WAF):
De standaardregelset of de OWASP top 10-beveiligingsregelset inschakelen om te beveiligen tegen bekende aanvallen op de weblaag
Het inschakelen van de regelset voor botbeveiliging om te voorkomen dat schadelijke bots gegevens scrapen, referenties opspullen, enzovoort.
Aangepaste regels toevoegen ter bescherming tegen bedreigingen die specifiek zijn voor uw bedrijf.
U kunt een van de volgende twee opties gebruiken:
Voor alle eindpunten (HTTP of niet), front met Azure Firewall voor filteren op basis van bedreigingsinformatie op laag 4:
Implementeer en configureer Azure Firewall met behulp van de Azure Portal.
Schakel filteren op basis van bedreigingsinformatie in voor uw verkeer.
III. Versleuteling: intern verkeer van gebruiker naar app wordt versleuteld
Het derde eerste doel waarop u zich moet richten, is het toevoegen van versleuteling om ervoor te zorgen dat intern verkeer van gebruiker naar app wordt versleuteld.
Volg deze stappen:
Dwing alleen HTTPS-communicatie af voor uw internetgerichte webtoepassingen door HTTP-verkeer om te leiden naar HTTPS met behulp van Azure Front Door.
Externe werknemers/partners verbinden met Microsoft Azure met behulp van de Azure VPN Gateway.
- Schakel versleuteling in voor punt-naar-site-verkeer in Azure VPN Gateway service.
Krijg veilig toegang tot uw virtuele Azure-machines met behulp van versleutelde communicatie via Azure Bastion.
Tip
Meer informatie over het implementeren van een end-to-end Zero Trust-strategie voor toepassingen.
|
Aanvullende implementatiedoelstellingen |
IV. Netwerksegmentatie: volledig gedistribueerde micro-perimeters voor inkomend/uitgaand verkeer in de cloud en diepere microsegmentatie
Zodra u uw eerste drie doelstellingen hebt bereikt, bestaat de volgende stap uit het verder segmenteren van uw netwerk.
App-onderdelen partitioneren naar verschillende subnetten
Volg deze stappen:
Voeg binnen het VNet subnetten van virtuele netwerken toe , zodat discrete onderdelen van een toepassing hun eigen perimeters kunnen hebben.
Pas regels voor netwerkbeveiligingsgroepen toe om alleen verkeer toe te staan van de subnetten met een app-subonderdeel dat is geïdentificeerd als een legitieme communicatie-tegenhanger.
De externe grenzen segmenteren en afdwingen
Volg deze stappen, afhankelijk van het type grens:
Internetgrens
Als er een internetverbinding is vereist voor uw toepassing die moet worden gerouteerd via het hub-VNet, werkt u de netwerkbeveiligingsgroepsregels in hub-VNet bij om internetverbinding toe te staan.
Schakel Azure DDoS Protection Standard in om het hub-VNet te beschermen tegen volumetrische netwerklaagaanvallen.
Als uw toepassing GEBRUIKMAAKT van HTTP/S-protocollen, schakelt u Azure Web Application Firewall in om bescherming te bieden tegen laag 7-bedreigingen.
On-premises grens
Als uw app connectiviteit met uw on-premises datacenter nodig heeft, gebruikt u Azure ExpressRoute van Azure VPN voor connectiviteit met uw hub-VNet.
Configureer de Azure Firewall in het hub-VNet om verkeer te controleren en te beheren.
Grens paaS-services
- Wanneer u PaaS-services gebruikt die door Azure worden geleverd (bijvoorbeeld Azure Storage, Azure Cosmos DB of Azure Web App), gebruikt u de optie PrivateLink-connectiviteit om ervoor te zorgen dat alle gegevens worden uitgewisseld via de privé-IP-ruimte en het verkeer nooit het Microsoft-netwerk verlaat.
V. Bedreigingsbeveiliging: op machine learning gebaseerde bedreigingsbeveiliging en filteren met contextgebaseerde signalen
Voor verdere bedreigingsbeveiliging schakelt u Azure DDoS Protection Standard in om uw door Azure gehoste toepassingsverkeer voortdurend te bewaken, op ML gebaseerde frameworks te gebruiken om volumetrische verkeersstromen uit te voeren en te detecteren en automatische oplossingen toe te passen.
Volg deze stappen:
Configureren en beheren Azure DDoS Protection Standard.
Waarschuwingen configureren voor metrische gegevens over DDoS-beveiliging.
VI. Versleuteling: al het verkeer wordt versleuteld
Voltooi ten slotte uw netwerkbeveiliging door ervoor te zorgen dat al het verkeer is versleuteld.
Volg deze stappen:
Verkeer van toepassingsback-end versleutelen tussen virtuele netwerken.
Verkeer versleutelen tussen on-premises en de cloud:
Configureer een site-naar-site-VPN via ExpressRoute Microsoft-peering.
Configureer de IPsec-transportmodus voor persoonlijke ExpressRoute-peering.
VII. Verouderde netwerkbeveiligingstechnologie stopzetten
Stop het gebruik van op handtekeningen gebaseerde netwerkinbraakdetectie/netwerkinbraakpreventiesystemen (NIDS/NIPS) en preventie van netwerkgegevens lekkage/verlies (DLP).
De belangrijkste cloudserviceproviders filteren al op onjuist ingedeelde pakketten en veelvoorkomende netwerklaagaanvallen, dus er is geen NIDS-/NIPS-oplossing nodig om deze te detecteren. Bovendien worden traditionele NIDS-/NIPS-oplossingen doorgaans aangestuurd door op handtekeningen gebaseerde benaderingen (die als verouderd worden beschouwd) en kunnen ze gemakkelijk worden ontweken door aanvallers en produceren ze meestal een hoog aantal fout-positieven.
Netwerkgebaseerde DLP is steeds minder effectief bij het identificeren van zowel onbedoeld als opzettelijk gegevensverlies. De reden hiervoor is dat de meeste moderne protocollen en aanvallers versleuteling op netwerkniveau gebruiken voor inkomende en uitgaande communicatie. De enige levensvatbare tijdelijke oplossing hiervoor is 'SSL-bridging' die een 'geautoriseerde man-in-the-middle' biedt die de versleutelde netwerkverbindingen beëindigt en vervolgens opnieuw tot stand brengt. De SSL-bridging-benadering is uit de gratie geraakt vanwege het vertrouwensniveau dat is vereist voor de partner die de oplossing uitvoert en de technologieën die worden gebruikt.
Op basis van deze logica bieden we een algemene aanbeveling om het gebruik van deze verouderde netwerkbeveiligingstechnologieën stop te zetten. Als de ervaring van uw organisatie echter is dat deze technologieën een tastbare invloed hebben gehad op het voorkomen en detecteren van echte aanvallen, kunt u overwegen deze over te zetten naar uw cloudomgeving.
Producten die in deze handleiding worden behandeld
Microsoft Azure
Virtuele netwerken en subnetten
Netwerkbeveiligingsgroepen en toepassingsbeveiligingsgroepen
Azure Web Application Firewall
Conclusie
Het beveiligen van netwerken staat centraal bij een succesvolle Zero Trust strategie. Neem voor meer informatie of hulp bij de implementatie contact op met uw customer success team of lees de andere hoofdstukken van deze handleiding, die alle Zero Trust pijlers beslaat.
De reeks implementatiehandleidingen voor Zero Trust