Udostępnij za pośrednictwem

Planowanie segmentacji sieci strefy docelowej

  • Artykuł

W tej sekcji omówiono kluczowe zalecenia dotyczące dostarczania wysoce bezpiecznej segmentacji sieci wewnętrznej w strefie docelowej w celu napędzania implementacji sieci Zero Trust.

Uwagi dotyczące projektowania

  • Model Zero Trust zakłada stan naruszenia i weryfikuje każde żądanie tak, jakby pochodziło z niekontrolowanych sieci.

  • Zaawansowana implementacja sieci Zero Trust wykorzystuje w pełni rozproszone mikro obwody ruchu przychodzącego i wychodzącego w chmurze oraz bardziej zaawansowaną mikrosegmentację.

  • Sieciowe grupy zabezpieczeń mogą używać tagów usługi platformy Azure w celu ułatwienia łączności z rozwiązaniami PaaS (Platform as a Service).

  • Grupy zabezpieczeń aplikacji (ASG) nie obejmują ani nie zapewniają ochrony w sieciach wirtualnych.

  • Dzienniki przepływu sieciowej grupy zabezpieczeń służą do sprawdzania ruchu przepływanego przez punkt sieciowy z dołączoną sieciową grupą zabezpieczeń.

  • Dzienniki przepływu sieci wirtualnej zapewniają możliwości podobne do dzienników przepływów sieciowej grupy zabezpieczeń, ale obejmują szerszy zakres przypadków użycia. Upraszczają one również zakres monitorowania ruchu, ponieważ można włączyć rejestrowanie na poziomie sieci wirtualnej.

Zalecenia dotyczące projektowania

  • Deleguj tworzenie podsieci do właściciela strefy docelowej. Umożliwi to zdefiniowanie sposobu segmentowania obciążeń w podsieciach (na przykład pojedynczej dużej podsieci, aplikacji wielowarstwowej lub aplikacji z wstrzykniętą siecią). Zespół platformy może używać usługi Azure Policy, aby upewnić się, że sieciowa grupa zabezpieczeń z określonymi regułami (takimi jak odmowa przychodzącego protokołu SSH lub RDP z Internetu lub zezwalać/blokować ruch między strefami docelowymi) jest zawsze skojarzona z podsieciami, które mają zasady tylko do odmowy.

  • Sieciowe grupy zabezpieczeń ułatwiają ochronę ruchu między podsieciami, a także ruch wschodni/zachodni na całej platformie (ruch między strefami docelowymi).

  • Zespół aplikacji powinien używać grup zabezpieczeń aplikacji w sieciowych grupach zabezpieczeń na poziomie podsieci, aby chronić wielowarstwowe maszyny wirtualne w strefie docelowej.

    Diagram przedstawiający sposób działania grupy zabezpieczeń aplikacji.

  • Używaj sieciowych grup zabezpieczeń i grup zabezpieczeń aplikacji do mikro segmentowania ruchu w strefie docelowej i unikaj używania centralnego urządzenia WUS do filtrowania przepływów ruchu.

  • Włącz dzienniki przepływu sieci wirtualnej i użyj analizy ruchu, aby uzyskać wgląd w przepływy ruchu przychodzącego i wychodzącego. Włącz dzienniki przepływu we wszystkich krytycznych sieciach wirtualnych i podsieciach w subskrypcjach, na przykład sieci wirtualne i podsieci zawierające kontrolery domeny usługi Active Directory systemu Windows Server lub krytyczne magazyny danych. Ponadto można użyć dzienników przepływu do wykrywania i badania potencjalnych zdarzeń zabezpieczeń, zgodności i monitorowania oraz optymalizacji użycia.

  • Sieciowe grupy zabezpieczeń umożliwiają selektywne zezwalanie na łączność między strefami docelowymi.

  • W przypadku topologii usługi Virtual WAN należy kierować ruch między strefami docelowymi za pośrednictwem usługi Azure Firewall, jeśli organizacja wymaga możliwości filtrowania i rejestrowania ruchu przepływającego między strefami docelowymi.

  • Jeśli Twoja organizacja zdecyduje się wdrożyć wymuszone tunelowanie (anonsowanie trasy domyślnej) do środowiska lokalnego, zalecamy włączenie następujących reguł sieciowej grupy zabezpieczeń ruchu wychodzącego w celu odmowy ruchu wychodzącego z sieci wirtualnych bezpośrednio do Internetu, jeśli sesja protokołu BGP spadnie.

Uwaga

Priorytety reguł należy dostosować na podstawie istniejącego zestawu reguł sieciowej grupy zabezpieczeń.

Priorytet Nazwisko Element źródłowy Element docelowy Usługa Akcja Uwaga
100 AllowLocal Any VirtualNetwork Any Allow Zezwalaj na ruch podczas normalnych operacji. W przypadku włączonego wymuszonego tunelowania jest traktowany jako część taguVirtualNetwork, 0.0.0.0/0 o ile protokół BGP reklamuje go do usługi ExpressRoute lub usługi VPN Gateway.
110 DenyInternet Any Internet Any Deny Odmów ruchu bezpośrednio do Internetu, jeśli 0.0.0.0/0 trasa zostanie wycofana z anonsowanych tras (na przykład z powodu awarii lub błędnej konfiguracji).

Uwaga

Usługi PaaS platformy Azure, które można wstrzykiwać do sieci wirtualnej, mogą nie być zgodne z wymuszonym tunelowaniem. Operacje płaszczyzny sterowania mogą nadal wymagać bezpośredniej łączności z określonymi publicznymi adresami IP, aby usługa działała prawidłowo. Zaleca się sprawdzenie dokumentacji określonej usługi pod kątem wymagań sieciowych i wykluczenie podsieci usługi z domyślnej propagacji trasy. Tagi usługi w trasach zdefiniowanych przez użytkownika mogą służyć do pomijania domyślnej trasy i przekierowywania ruchu płaszczyzny sterowania tylko wtedy, gdy określony tag usługi jest dostępny.