Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tej sekcji omówiono kluczowe zalecenia dotyczące dostarczania wysoce bezpiecznej segmentacji sieci wewnętrznej w strefie docelowej w celu napędzania implementacji sieci Zero Trust.
Uwagi dotyczące projektowania
Model Zero Trust przyjmuje stan, w którym doszło do naruszenia, i weryfikuje każde żądanie tak, jakby pochodziło z niekontrolowanej sieci.
Zaawansowana implementacja sieci Zero Trust wykorzystuje w pełni rozproszone mikro obwody ruchu przychodzącego i wychodzącego w chmurze oraz bardziej zaawansowaną mikrosegmentację.
Grupy zabezpieczeń sieci (NSG) mogą używać tagów usługi Azure aby ułatwić łączność z rozwiązaniami PaaS (Platform as a Service).
Grupy zabezpieczeń aplikacji (ASG) nie obejmują ani nie zapewniają ochrony w poprzek sieci wirtualnych.
Użyj dzienników przepływu sieci wirtualnej, aby sprawdzić ruch przepływujący przez sieci wirtualne. Dzienniki przepływu sieci wirtualnej zapewniają funkcje podobne do dzienników przepływów sieciowej grupy zabezpieczeń , ale obejmują szerszy zakres przypadków użycia. Upraszczają one również zakres monitorowania ruchu, ponieważ można włączyć rejestrowanie na poziomie sieci wirtualnej.
Uwaga
30 września 2027 r. dzienniki przepływu danych grupy zabezpieczeń sieciowych zostaną wycofane. W ramach tego procesu wycofywania, od 30 czerwca 2025 r. nie będzie można już tworzyć nowych dzienników przepływu NSG. Zalecamy migrację do dzienników przepływu sieci wirtualnej, które pozwalają przezwyciężyć ograniczenia dzienników przepływu sieciowej grupy zabezpieczeń. Po dacie wycofania analiza ruchu z włączonymi dziennikami przepływów NSG nie będzie już obsługiwana, a istniejące zasoby dzienników przepływów NSG w subskrypcjach zostaną usunięte. Jednak rekordy dzienników przepływu sieciowej grupy zabezpieczeń nie zostaną usunięte i nadal będą podlegać ich odpowiednim zasadom przechowywania. Aby uzyskać więcej informacji, zobacz powiadomienie o wycofaniu.
Zalecenia dotyczące projektowania
Deleguj tworzenie podsieci do właściciela strefy docelowej. Umożliwi to zdefiniowanie sposobu segmentowania obciążeń w podsieciach (na przykład pojedynczej dużej podsieci, aplikacji wielowarstwowej lub aplikacji z wstrzykniętą siecią). Zespół platformy może używać usługi Azure Policy, aby upewnić się, że sieciowa grupa zabezpieczeń z określonymi regułami (takimi jak odmowa przychodzącego protokołu SSH lub protokołu RDP z internetu lub możliwość zezwalania/blokowania ruchu pomiędzy strefami docelowymi) jest zawsze powiązana z podsieciami, które mają zasady zezwalające wyłącznie na odmawianie.
Używaj NSG do ochrony ruchu między podsieciami oraz ruchu wschód-zachód w ramach platformy (ruch między strefami docelowymi).
Zespół aplikacji powinien używać grup zabezpieczeń aplikacji na poziomie NSG podsieci, aby chronić maszyny wirtualne o kilku warstwach w strefie lądowania.
Diagram pokazujący, jak działa grupa zabezpieczeń aplikacji.
Używaj sieciowych grup zabezpieczeń i grup zabezpieczeń aplikacji do mikrosegmentacji ruchu w strefie lądowania i unikaj używania centralnego wirtualnego urządzenia sieciowego do filtrowania przepływów ruchu.
Włącz dzienniki przepływów sieci wirtualnej i użyj analizy ruchu, aby uzyskać wgląd w przepływy ruchu przychodzącego i wychodzącego. Włącz dzienniki przepływu we wszystkich krytycznych sieciach wirtualnych i podsieciach w subskrypcjach, na przykład sieci wirtualne i podsieci zawierające kontrolery domeny usługi Active Directory systemu Windows Server lub krytyczne magazyny danych. Ponadto można użyć dzienników przepływu do wykrywania i badania potencjalnych zdarzeń zabezpieczeń, zgodności i monitorowania oraz optymalizacji użycia.
Zaplanuj i przenieś bieżącą konfigurację dzienników przepływu NSG do dzienników przepływu sieci wirtualnej. Zobacz Migrowanie dzienników przepływu NSG.
Użyj sieciowych grup zabezpieczeń, aby selektywnie zezwalać na łączność między strefami lądowania.
W przypadku topologii usługi Virtual WAN należy kierować ruch między strefami docelowymi za pośrednictwem usługi Azure Firewall, jeśli organizacja wymaga możliwości filtrowania i rejestrowania ruchu przepływającego między strefami docelowymi.
Jeśli Twoja organizacja zdecyduje się wdrożyć wymuszone tunelowanie (anonsowanie trasy domyślnej) do środowiska lokalnego, zalecamy włączenie następujących reguł NSG ruchu wychodzącego, aby zablokować ruch wychodzący z VNet-ów bezpośrednio do Internetu na wypadek przerwania sesji BGP.
Uwaga
Priorytety reguł należy dostosować w oparciu o istniejący zestaw reguł sieciowej grupy zabezpieczeń.
| Priorytet | Nazwisko | Źródło | Miejsce docelowe | Usługa | Akcja | Uwaga |
|---|---|---|---|---|---|---|
| 100 | AllowLocal |
Any |
VirtualNetwork |
Any |
Allow |
Zezwalaj na ruch podczas normalnych operacji. W przypadku włączonego wymuszonego tunelowania, 0.0.0.0/0 jest traktowany jako część VirtualNetwork tak długo, jak protokół BGP reklamuje go do usługi ExpressRoute lub usługi VPN Gateway. |
| 110 | DenyInternet |
Any |
Internet |
Any |
Deny |
Zablokuj ruch bezpośrednio do Internetu, jeśli 0.0.0.0/0 ścieżka zostanie wycofana z anonsowanych ścieżek (na przykład z powodu awarii lub błędnej konfiguracji). |
Uwaga
Usługi PaaS platformy Azure, które można wstrzykiwać do sieci wirtualnej, mogą nie być zgodne z wymuszonym tunelowaniem. Operacje płaszczyzny sterowania mogą nadal wymagać bezpośredniej łączności z określonymi publicznymi adresami IP, aby usługa działała prawidłowo. Zaleca się sprawdzenie dokumentacji określonej usługi pod kątem wymagań sieciowych i wykluczenie podsieci usługi z domyślnej propagacji trasy. Tagi usługi w UDR mogą być używane do pominięcia domyślnej trasy i przekierowania wyłącznie ruchu płaszczyzny sterowania, jeśli dostępny jest określony tag usługi.