Zabezpieczenia i zawieranie sieci

Zabezpieczenia sieci były tradycyjnym lynchpin wysiłków związanych z zabezpieczeniami przedsiębiorstwa. Jednak przetwarzanie w chmurze zwiększyło wymaganie, aby obwody sieci były bardziej porowe, a wielu atakujących opanowało sztukę ataków na elementy systemu tożsamości (które prawie zawsze pomijają mechanizmy kontroli sieci). Te czynniki zwiększyły potrzebę skoncentrowania się głównie na kontrolach dostępu opartych na tożsamościach w celu ochrony zasobów, a nie kontroli dostępu opartej na sieci.

Zmniejszają one rolę mechanizmów kontroli zabezpieczeń sieci, ale nie eliminują ich całkowicie. Chociaż zabezpieczenia sieci nie są już głównym celem zabezpieczania zasobów opartych na chmurze, nadal jest to najwyższy priorytet dla dużego portfela starszych zasobów (które zostały utworzone z założeniem, że obwód oparty na zaporze sieciowej był w miejscu). Wielu atakujących nadal wykorzystuje metody skanowania i wykorzystania w zakresach adresów IP dostawcy chmury publicznej, pomyślnie penetrating obrony dla tych, którzy nie przestrzegają podstawowej higieny zabezpieczeń sieci. Mechanizmy kontroli zabezpieczeń sieci udostępniają również szczegółowy element strategii, który pomaga chronić, wykrywać, zawierać i wyrzucać osoby atakujące, które przejdą do wdrożeń w chmurze.

W kategorii zabezpieczeń sieci i ich zawierania mamy następujące zalecenia dotyczące najlepszych rozwiązań:

  • Dopasowywanie segmentacji sieci do ogólnej strategii

  • Scentralizowane zarządzanie siecią i zabezpieczenia

  • Tworzenie strategii zawierania sieci

  • Definiowanie strategii brzegowej internetu

Scentralizowane zarządzanie siecią i zabezpieczenia

Scentralizowanie organizacyjnej odpowiedzialności za zarządzanie i zabezpieczenia podstawowych funkcji sieciowych, takich jak łącza między lokalami, sieć wirtualna, podsieć i schematy adresów IP, a także elementy zabezpieczeń sieci, takie jak wirtualne urządzenia sieciowe, szyfrowanie działań sieci wirtualnej w chmurze i ruch sieciowy, mechanizmy kontroli dostępu oparte na sieci i inne tradycyjne składniki zabezpieczeń sieci.

W przypadku scentralizowanego zarządzania siecią i zabezpieczeń można zmniejszyć potencjał niespójnych strategii, które mogą tworzyć potencjalne zagrożenia bezpieczeństwa możliwe do wykorzystania przez osobę atakującą. Ze względu na to, że wszystkie działy organizacji IT i deweloperskich nie mają tego samego poziomu wiedzy na temat zarządzania siecią i bezpieczeństwa oraz wyrafinowania, organizacje korzystają z korzystania ze scentralizowanej wiedzy i narzędzi zespołu sieci.

Usługa Microsoft Defender for Cloud może służyć do scentralizowanego zarządzania zabezpieczeniami sieci.

Wyrównywanie segmentacji sieci przy użyciu strategii segmentacji przedsiębiorstwa

Wyrównuj model segmentacji sieci z modelem segmentacji przedsiębiorstwa dla organizacji (zdefiniowanym w sekcji Ład, Ryzyko i zgodność).

Spowoduje to zmniejszenie nieporozumień i wyzwań wynikających z różnych zespołów technicznych (sieci, tożsamości, aplikacji itp.) tworzących własne modele segmentacji i delegowania, które nie są ze sobą zgodne. Prowadzi to do prostej i ujednoliconej strategii zabezpieczeń, która pomaga zmniejszyć liczbę błędów spowodowanych błędami ludzkimi i niezdolnością do zwiększenia niezawodności dzięki automatyzacji.

Porównaj obrazy w obszarze Zabezpieczenia sieci i zawieranie.

image showing hybrid cloud infrastructure-network architecture

Rozwijanie zabezpieczeń poza mechanizmami kontroli sieci

Upewnij się, że mechanizmy kontroli technicznej mogą skutecznie zapobiegać zagrożeniom, wykrywać je i reagować na nie poza sieciami, które kontrolujesz.

W miarę przechodzenia organizacji do nowoczesnych architektur wiele usług i składników wymaganych dla aplikacji będzie uzyskiwanych przez Internet lub w sieciach dostawców usług w chmurze, często przez urządzenia przenośne i inne poza siecią. Tradycyjne mechanizmy kontroli sieci oparte na podejściu "zaufanego intranetu" nie będą mogły skutecznie zapewnić bezpieczeństwa dla tych aplikacji. Ten zmieniający się krajobraz jest dobrze przechwytywany przez zasady udokumentowane przez forum Jericho i podejścia "Zero Trust".

Utwórz strategię ograniczania ryzyka opartą na połączeniu mechanizmów kontroli sieci i aplikacji, tożsamości i innych typów kontrolek.

  • Upewnij się, że grupowanie zasobów i uprawnienia administracyjne są zgodne z modelem segmentacji (zobacz rysunek XXXX)

  • Upewnij się, że projektujesz mechanizmy kontroli zabezpieczeń, które identyfikują i zezwalają na oczekiwany ruch, żądania dostępu i inną komunikację aplikacji między segmentami. Monitoruj komunikację między segmentami, aby zidentyfikować nieoczekiwaną komunikację, aby sprawdzić, czy ustawić alerty, czy zablokować ruch, aby ograniczyć ryzyko przekroczenia granic segmentacji przez przeciwników.

Tworzenie strategii zawierania zabezpieczeń

Utwórz strategię ograniczania ryzyka, która łączy sprawdzone podejścia, w tym:

  • Istniejące mechanizmy kontroli zabezpieczeń sieci i rozwiązania

  • Natywne mechanizmy kontroli zabezpieczeń dostępne na platformie Azure

  • Podejścia zerowe zaufania

Ograniczanie wektorów ataków w środowisku ma kluczowe znaczenie. Jednak aby zapewnić skuteczność w środowiskach chmurowych, tradycyjne podejścia mogą okazać się nieodpowiednie, a organizacje zabezpieczeń muszą rozwijać swoje metody.

  • Spójność mechanizmów kontroli w infrastrukturze lokalnej i w chmurze jest ważna, ale zabezpieczenia są bardziej skuteczne i możliwe do zarządzania w przypadku korzystania z natywnych możliwości oferowanych przez dostawcę usług w chmurze, dynamicznych metod just in time (JIT) oraz zintegrowanych mechanizmów kontroli tożsamości i haseł, takich jak te zalecane przez podejścia do zerowego zaufania/ciągłej weryfikacji.

  • Najlepszym rozwiązaniem w zakresie zabezpieczeń sieci jest upewnienie się, że istnieją mechanizmy kontroli dostępu do sieci między konstrukcjami sieci. Te konstrukcje mogą reprezentować sieci wirtualne lub podsieci w tych sieciach wirtualnych. Działa to w celu ochrony i przechowywania ruchu East-West w infrastrukturze sieci w chmurze.

  • Ważną decyzją o projekcie zabezpieczeń sieci jest użycie lub nie używanie zapór opartych na hoście. Zapory oparte na hoście obsługują kompleksową strategię ochrony. Jednak w przypadku większości zastosowań wymagają znacznego nakładu pracy związanych z zarządzaniem. Jeśli Twoja organizacja znalazła je skutecznie, pomagając chronić i wykrywać zagrożenia w przeszłości, możesz rozważyć użycie ich dla zasobów opartych na chmurze. Jeśli okaże się, że nie dodały znaczącej wartości, zaprzestaj korzystania z nich i zapoznaj się z rozwiązaniami natywnymi na platformie dostawcy usług w chmurze, która dostarcza podobną wartość.

Rozwijające się zalecenie dotyczące najlepszych rozwiązań polega na przyjęciu strategii Zero Trust opartej na tożsamościach użytkowników, urządzeń i aplikacji. W przeciwieństwie do kontroli dostępu do sieci, które są oparte na elementach, takich jak źródłowy i docelowy adres IP, protokoły i numery portów, Zero Trust wymusza i weryfikuje kontrolę dostępu w czasie dostępu. Pozwala to uniknąć konieczności gry przewidywania dla całego wdrożenia, sieci lub podsieci — tylko zasób docelowy musi zapewnić niezbędne mechanizmy kontroli dostępu.

  • Grupy zabezpieczeń sieci platformy Azure mogą służyć do kontroli dostępu w warstwie 3 & 4 między sieciami wirtualnymi platformy Azure, ich podsieciami i Internetem.

  • Zapora aplikacji internetowej platformy Azure i usługa Azure Firewall mogą służyć do bardziej zaawansowanych mechanizmów kontroli dostępu do sieci, które wymagają obsługi warstwy aplikacji.

  • Lokalne rozwiązanie do zarządzania hasłami administratora (LAPS) lub zarządzanie dostępem uprzywilejowanym innej firmy może ustawić silne hasła administratora lokalnego i dostęp just in time do nich

Ponadto osoby trzecie oferują podejścia do mikrosegmentacji, które mogą usprawnić kontrolę sieci, stosując zasady zerowego zaufania do sieci kontrolujących starsze zasoby.

Definiowanie strategii brzegowej internetu

Wybierz, czy należy używać natywnych mechanizmów kontroli dostawcy usług w chmurze, czy wirtualnych urządzeń sieciowych na potrzeby zabezpieczeń brzegowych w Internecie.

Ruch brzegowy w Internecie (czasami nazywany ruchem "Północ-Południe") reprezentuje łączność sieciową między twoimi aktywami w chmurze a Internetem. Starsze obciążenia wymagają ochrony przed internetowymi punktami końcowymi, ponieważ zostały utworzone przy założeniu, że zapora internetowa chroniła je przed tymi atakami. Strategia brzegowa internetu ma na celu ograniczenie liczby ataków z Internetu, co jest uzasadnione do wykrywania lub blokowania.

Istnieją dwie podstawowe opcje, które mogą zapewnić mechanizmy kontroli zabezpieczeń i monitorowanie brzegowych sieci Internet:

  • Natywne kontrolki dostawcy usług w chmurze (Azure Firewall + [Zapora aplikacji internetowej)]/azure/application-gateway/waf-overview))

  • Wirtualne urządzenia sieciowe partnera (zapora i dostawcy zapory aplikacji internetowych dostępne w witrynie Azure Marketplace)

  • Natywne mechanizmy kontroli dostawcy usług w chmurze zwykle oferują podstawowe zabezpieczenia, które są wystarczająco dobre w przypadku typowych ataków, takich jak OWASP Top 10.

  • Natomiast możliwości partnera dostawcy usług w chmurze często zapewniają znacznie bardziej zaawansowane funkcje, które mogą chronić przed zaawansowanymi (ale często nietypowymi) atakami. Rozwiązania partnerskie stale kosztują więcej niż natywne mechanizmy kontroli. Ponadto konfiguracja rozwiązań partnerskich może być bardzo złożona i bardziej krucha niż natywne kontrolki, ponieważ nie integrują się z kontrolerami sieci szkieletowej chmury.

Decyzja o używaniu kontrolek natywnych i partnerskich powinna być oparta na doświadczeniu i wymaganiach organizacji. Jeśli funkcje zaawansowanych rozwiązań zapory nie zapewniają wystarczającego zwrotu z inwestycji, możesz rozważyć użycie natywnych funkcji zaprojektowanych w celu łatwego konfigurowania i skalowania.

Zaprzestanie starszej technologii zabezpieczeń sieci

Zaprzestanie korzystania z systemów wykrywania włamań sieci opartych na podpisie/zapobiegania włamaniom do sieci (NIDS/NIPS) oraz zapobiegania wyciekom/utracie danych sieciowych (DLP).

Główni dostawcy usług w chmurze już filtrują źle sformułowane pakiety i typowe ataki warstwy sieciowej, więc nie ma potrzeby wykrywania rozwiązań NIDS/NIPS. Ponadto tradycyjne rozwiązania NIDS/NIPS są zwykle oparte na podejściach opartych na podpisach (które są uważane za nieaktualne) i są łatwo unikane przez osoby atakujące i zwykle generują wysoki współczynnik wyników fałszywie dodatnich.

DLP oparte na sieci zmniejsza skuteczność w identyfikowaniu zarówno nieumyślnej, jak i celowej utraty danych. Przyczyną tego jest to, że większość nowoczesnych protokołów i atakujących używa szyfrowania na poziomie sieci do komunikacji przychodzącej i wychodzącej. Jedynym opłacalnym obejściem tego problemu jest "mostkowanie SSL", które zapewnia "autoryzowany man-in-the-middle", który kończy, a następnie ponownie publikuje zaszyfrowane połączenia sieciowe. Podejście mostkujące SSL wypadło na korzyść ze względu na poziom zaufania wymagany dla partnera uruchamiającego rozwiązanie i używane technologie.

W oparciu o to uzasadnienie oferujemy rekomendację all-up, która zaprzestała korzystania z tych starszych technologii zabezpieczeń sieci. Jeśli jednak twoje środowisko organizacyjne ma wpływ na zapobieganie rzeczywistym atakom i wykrywanie ich, możesz rozważyć przenoszenie ich do środowiska chmury.

Projektowanie zabezpieczeń podsieci sieci wirtualnej

Projektowanie sieci wirtualnych i podsieci na potrzeby wzrostu.

Większość organizacji dodaje więcej zasobów do sieci niż początkowo planowano. W takim przypadku należy refaktoryzować schematy adresowania IP i podsieci, aby pomieścić dodatkowe zasoby. Jest to proces wymagający pracy. Istnieje ograniczona wartość zabezpieczeń podczas tworzenia bardzo dużej liczby małych podsieci, a następnie próby mapowania kontroli dostępu do sieci (takich jak grupy zabezpieczeń) do każdego z nich.

Zalecamy zaplanowanie podsieci na podstawie typowych ról i funkcji, które używają typowych protokołów dla tych ról i funkcji. Umożliwia to dodawanie zasobów do podsieci bez konieczności wprowadzania zmian w grupach zabezpieczeń, które wymuszają mechanizmy kontroli dostępu na poziomie sieci.

Nie używaj reguł "wszystkie otwarte" dla ruchu przychodzącego i wychodzącego do i z podsieci. Użyj podejścia "najmniejszych uprawnień" sieci i zezwalaj tylko na odpowiednie protokoły. Zmniejszy to ogólną powierzchnię ataków sieciowych w podsieci.

Wszystkie otwarte reguły (zezwalające na ruch przychodzący/wychodzący do i z 0.0.0.0.0-255.255.255) zapewniają fałszywe poczucie bezpieczeństwa, ponieważ taka reguła w ogóle nie wymusza zabezpieczeń.

Jednak wyjątek jest taki, jeśli chcesz używać grup zabezpieczeń tylko do rejestrowania sieci. Nie zalecamy tego, ale jest to opcja, jeśli istnieje inne rozwiązanie kontroli dostępu do sieci.

Podsieci usługi Azure Virtual Network można zaprojektować w ten sposób.

Eliminowanie ataków DDoS

Włącz środki zaradcze rozproszonej odmowy usługi (DDoS) dla wszystkich aplikacji internetowych i usług krytycznych dla działania firmy.

Ataki DDoS są powszechne i są łatwo przeprowadzane przez nieofikowane osoby atakujące. Istnieją nawet opcje "DDoS jako usługa" w ciemnej sieci. Ataki DDoS mogą być bardzo wyniszczające i całkowicie blokować dostęp do usług, a nawet usuwać usługi, w zależności od typu ataku DDoS.

Główni dostawcy usług w chmurze oferują ochronę przed atakami DDoS usług o różnej skuteczności i pojemności. Dostawcy usług w chmurze zwykle udostępniają dwie opcje ochrony przed atakami DDoS:

  • Ochrona przed atakami DDoS na poziomie sieci szkieletowej sieci w chmurze — wszyscy klienci dostawcy usług w chmurze korzystają z tych zabezpieczeń. Ochrona jest zwykle skoncentrowana na poziomie sieci (warstwa 3).

  • Ochrona przed atakami DDoS na wyższych poziomach profilujących usługi — tego rodzaju ochrona będzie bazować wdrożenia, a następnie używać technik uczenia maszynowego do wykrywania nietypowego ruchu i proaktywnej ochrony na podstawie ich ochrony przed obniżeniem poziomu usług

Zalecamy wdrożenie ochrony z wyprzedzeniem dla wszystkich usług, w których przestój będzie miał negatywny wpływ na firmę.

Przykładem zaawansowanej ochrony przed atakami DDoS jest usługa Azure DDoS Protection.

Podejmowanie decyzji o zasadach ruchu przychodzącego/wychodzącego w Internecie

Wybierz kierowanie ruchu przeznaczonego dla Internetu za pośrednictwem lokalnych urządzeń zabezpieczeń lub zezwalanie na łączność z Internetem za pośrednictwem urządzeń zabezpieczeń sieci opartych na chmurze.

Routing ruchu internetowego za pośrednictwem lokalnych urządzeń zabezpieczeń sieci jest również nazywany "wymuszonym tunelowaniem". W scenariuszu wymuszonego tunelowania cała łączność z Internetem jest wymuszana z powrotem do lokalnych urządzeń zabezpieczeń sieci za pośrednictwem połączenia sieci WAN obejmującego wiele lokalizacji. Celem jest zapewnienie zespołom ds. zabezpieczeń sieci większego bezpieczeństwa i widoczności ruchu internetowego. Nawet jeśli zasoby w chmurze spróbują odpowiedzieć na przychodzące żądania z Internetu, odpowiedzi będą wymuszane za pośrednictwem lokalnych urządzeń zabezpieczeń sieci.

Alternatywnie wymuszone tunelowanie pasuje do modelu "rozszerzania centrum danych" i może działać dobrze w celu szybkiego sprawdzania koncepcji, ale skalowanie jest źle spowodowane zwiększonym obciążeniem ruchem, opóźnieniami i kosztami.

Zalecaną metodą użycia w środowisku produkcyjnym w przedsiębiorstwie jest umożliwienie zasobom w chmurze inicjowania żądań internetowych i odpowiadania na nie bezpośrednio za pośrednictwem urządzeń zabezpieczeń sieci w chmurze zdefiniowanych przez strategię brzegową Internetu.

Bezpośrednie podejście internetowe pasuje do modelu Nth centrum danych (na przykład centra danych platformy Azure są naturalną częścią mojego przedsiębiorstwa). Takie podejście jest znacznie lepsze w przypadku wdrożenia w przedsiębiorstwie, ponieważ usuwa przeskoki, które dodają obciążenie, opóźnienie i koszty.

Zalecamy unikanie wymuszonego tunelowania z powodów wymienionych powyżej.

Włączanie rozszerzonej widoczności sieci

Rozszerzoną widoczność sieci należy włączyć, integrując dzienniki sieciowe z usługą Security Information and Event Management (SIEM), taką jak Microsoft Sentinel lub trzecie rozwiązanie partnerskie, takie jak Splunk, QRadar lub ArcSight ESM.

Zintegrowanie dzienników z urządzeń sieciowych, a nawet samego nieprzetworzonego ruchu sieciowego, zapewni lepszy wgląd w potencjalne zagrożenia bezpieczeństwa przepływające przez sieć. Te informacje dziennika można zintegrować z zaawansowanymi rozwiązaniami SIEM lub innymi platformami analitycznymi. Nowoczesne platformy analityczne oparte na uczeniu maszynowym obsługują pozyskiwanie bardzo dużych ilości informacji i umożliwia bardzo szybkie analizowanie dużych zestawów danych. Ponadto te rozwiązania można dostroić w celu znacznego zmniejszenia liczby fałszywych alarmów dodatnich.

Przykłady dzienników sieciowych, które zapewniają widoczność, to:

Następne kroki

Aby uzyskać dodatkowe wskazówki dotyczące zabezpieczeń firmy Microsoft, zobacz dokumentację zabezpieczeń firmy Microsoft.