Stosowanie zasad Zero Trust w celu zaprzestania starszej technologii zabezpieczeń sieci

Ten artykuł zawiera wskazówki dotyczące stosowania zasad zero trustu w celu zaprzestania starszej technologii zabezpieczeń sieci w środowiskach platformy Azure. Poniżej przedstawiono zasady zero trustu.

Zasada zerowego zaufania	Definicja
Zweryfikować jawnie	Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych.
Używanie dostępu z jak najmniejszą liczbą uprawnień	Ogranicz dostęp użytkowników za pomocą zasad just in time i Just-Enough-Access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych.
Zakładanie naruszeń zabezpieczeń	Zminimalizuj promień wybuchu i segmentuj dostęp. Zweryfikuj kompleksowe szyfrowanie i korzystaj z analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę. Ulepszanie ochrony środowiska platformy Azure przez usunięcie lub uaktualnienie starszych usług sieciowych w celu uzyskania wyższych poziomów zabezpieczeń.

Ten artykuł jest częścią serii artykułów , które pokazują, jak zastosować zasady zero trust do sieci platformy Azure.

Obszary sieciowe platformy Azure, które należy przejrzeć, aby zaprzestać korzystania ze starszych technologii zabezpieczeń sieci:

• Podstawowe usługi sieciowe
• Równoważenie obciążenia i usługi dostarczania zawartości
• Usługi łączności hybrydowej

Przejście od korzystania ze starszych technologii zabezpieczeń sieci może uniemożliwić atakującemu uzyskanie dostępu do środowisk lub przejście między nimi w celu spowodowania powszechnych szkód ( zasada Przyjmij naruszenie zerowego zaufania).

Architektura odwołań

Poniższy diagram pokazuje referencyjną architekturę dla tych wytycznych dotyczących architektury Zero Trust, które mają na celu zaniechanie starszych technologii zabezpieczeń sieciowych dla składników w środowisku Azure.

Ta architektura referencyjna obejmuje:

• Obciążenia IaaS platformy Azure działające na maszynach wirtualnych platformy Azure.
• Usługi platformy Azure.
• Wirtualna sieć zabezpieczeń zawierająca bramę VPN Azure i bramę aplikacyjną Azure.
• Internetowa sieć wirtualna brzegowa zawierająca usługę Azure Load Balancer.
• Usługa Azure Front Door na krawędzi środowiska Azure.

Co znajduje się w tym artykule?

Zasady zero trust są stosowane w całej architekturze referencyjnej, od użytkowników i administratorów w Internecie lub w sieci lokalnej do i w środowisku platformy Azure. W poniższej tabeli wymieniono kluczowe zadania dotyczące wycofywania technologii zabezpieczeń sieci starszego typu w tej architekturze zgodnie z zasadą Zero Trust Assume Breach.

Krok	Zadanie
1	Przejrzyj usługi związane z podstawami sieci.
2	Przejrzyj usługi dostarczania zawartości i równoważenia obciążenia.
3	Przejrzyj usługi łączności hybrydowej.

Krok 1. Przegląd usług podstaw sieci

Przegląd usług podstawowych sieci obejmuje następujące elementy:

• Przejście z SKU Podstawowego Publicznego Adresu IP do SKU Standardowego Publicznego Adresu IP.
• Upewnienie się, że adresy IP maszyn wirtualnych korzystają z jawnego dostępu wychodzącego.

Na tym diagramie przedstawiono składniki aktualizacji usług podstaw sieci platformy Azure w architekturze referencyjnej.

Podstawowa jednostka SKU publicznego adresu IP

Adresy IP (publiczne i prywatne) są częścią usług IP na platformie Azure, które umożliwiają komunikację między zasobami prywatnymi i publicznymi. Publiczne adresy IP są połączone z usługami, takimi jak bramy sieci wirtualnej, bramy aplikacji i inne, które wymagają łączności wychodzącej z Internetem. Prywatne adresy IP umożliwiają wewnętrzną komunikację między zasobami platformy Azure.

Podstawowa SKU publicznego adresu IP jest obecnie uznawana za przestarzałą i ma więcej ograniczeń niż Standardowa SKU publicznego adresu IP. Jednym z głównych ograniczeń w przypadku podstawowego SKU publicznego adresu IP jest to, że użycie grup zabezpieczeń sieciowych nie jest wymagane, ale zalecane, podczas gdy w warstwie Standard jest to obowiązkowe.

Kolejną ważną funkcją SKU publicznego adresu IP w wersji Standard jest możliwość wyboru preferencji routingu, jak na przykład routowanie przez globalną sieć Microsoft. Ta funkcja zabezpiecza ruch w sieci szkieletowej firmy Microsoft zawsze wtedy, gdy jest to możliwe, a ruch wychodzący kończy się jak najbliżej usługi lub użytkownika końcowego.

Aby uzyskać więcej informacji, zobacz Usługi IP w Azure Virtual Network.

Uwaga

Podstawowy SKU publicznego adresu IP zostanie wycofany we wrześniu 2025 r.

Domyślny dostęp wychodzący

Domyślnie platforma Azure zapewnia dostęp wychodzący do Internetu. Domyślne trasy systemowe i domyślne reguły ruchu wychodzącego dla grup zabezpieczeń sieciowych zapewniają łączność z zasobów. Innymi słowy, jeśli nie skonfigurowano jawnej metody łączności wychodzącej, platforma Azure konfiguruje domyślny adres IP dostępu wychodzącego. Jednak bez jawnego dostępu wychodzącego pojawiają się pewne zagrożenia bezpieczeństwa.

Firma Microsoft zaleca, aby adres IP maszyny wirtualnej nie był otwarty dla ruchu internetowego. Nie ma kontroli nad domyślnym dostępem wychodzącym i adresami IP, które wraz ze swoimi zależnościami mogą ulec zmianie. W przypadku maszyn wirtualnych wyposażonych w wiele kart sieciowych nie zaleca się zezwalania wszystkim adresom IP karty sieciowej na dostęp wychodzący z Internetu. Zamiast tego należy ograniczyć dostęp tylko do niezbędnych kart sieciowych.

Firma Microsoft zaleca skonfigurowanie jawnego dostępu wychodzącego przy użyciu jednej z następujących opcji:

• Azure NAT Gateway

  Dla maksymalnej liczby portów translacji adresów sieciowych (SNAT) firma Microsoft zaleca użycie usługi Azure NAT Gateway w celu zapewnienia łączności wychodzącej.

• SKU Standard Azure Load Balancers

  Wymaga to reguły równoważenia obciążenia do konfigurowania SNAT, co może nie być tak wydajne jak brama NAT Azure.

• Ograniczone użycie publicznych adresów IP

  Przypisywanie bezpośredniego publicznego adresu IP do maszyny wirtualnej powinno odbywać się tylko w przypadku środowisk testowych lub programistycznych ze względu na skalowalność i zabezpieczenia.

Krok 2. Przeglądanie dostarczania zawartości i usług równoważenia obciążenia

Platforma Azure ma wiele usług dostarczania aplikacji, które ułatwiają wysyłanie i dystrybuowanie ruchu do aplikacji internetowych. Czasami nowa wersja lub warstwa usługi ulepsza środowisko i udostępnia najnowsze aktualizacje. Możesz użyć narzędzia migracji w ramach każdej usługi dostarczania aplikacji, aby łatwo przełączyć się do najnowszej wersji usługi i skorzystać z nowych i rozszerzonych funkcji.

Przegląd usług dostarczania zawartości i równoważenia obciążenia obejmuje:

• Migrowanie warstwy usługi Azure Front Door z warstwy Klasycznej do warstwy Premium lub Standardowa.
• Migrowanie Bram aplikacji systemu Azure do WAF_v2.
• Migrowanie do usługi Azure Load Balancer w wersji Standard SKU.

Na tym diagramie przedstawiono składniki aktualizacji usług dostarczania zawartości platformy Azure i równoważenia obciążenia.

Azure Front Door

Usługa Azure Front Door ma trzy różne warstwy: Premium, Standardowa i Classic. Warstwy Standardowa i Premium łączą funkcje z warstwy klasycznej usługi Azure Front Door, Azure Content Delivery Network i Azure Web Application Firewall (WAF) w jedną usługę.

Firma Microsoft zaleca migrowanie klasycznych profilów usługi Azure Front Door do warstw Premium lub Standardowa w celu korzystania z tych nowych funkcji i aktualizacji. Warstwa Premium koncentruje się na ulepszonych funkcjach zabezpieczeń, takich jak prywatna łączność z usługami backendowymi, reguły zapory sieciowej aplikacji zarządzane przez Microsoft oraz ochrona przed botami dla aplikacji internetowych.

Oprócz ulepszonych funkcji usługa Azure Front Door Premium zawiera raporty zabezpieczeń wbudowane w usługę bez dodatkowych kosztów. Te raporty pomagają w analizie zasad bezpieczeństwa zapory aplikacji internetowych i pokazują, jaki rodzaj ataków mogą napotkać Twoje aplikacje internetowe. Raport zabezpieczeń umożliwia również analizowanie metryk według różnych wymiarów, co pomaga zrozumieć, skąd pochodzi ruch, oraz podział najważniejszych zdarzeń według kryteriów.

Warstwa Azure Front Door Premium zapewnia najbardziej niezawodne środki zabezpieczeń internetu między klientami i aplikacjami internetowymi.

Azure Application Gateway

mają dwa typy SKU, v1 i v2, oraz wersję zapory aplikacji sieciowej (WAF), którą można zastosować do dowolnego typu SKU. Firma Microsoft zaleca migrację bramy aplikacji systemu Azure do jednostki SKU WAF_v2, aby skorzystać z ulepszeń wydajności i nowych funkcji, takich jak automatyczne skalowanie, niestandardowe reguły zapory WAF oraz obsługa usługi Azure Private Link.

Niestandardowe reguły zapory WAF umożliwiają określenie warunków oceny każdego żądania przechodzącego przez bramę aplikacji Azure. Te reguły mają wyższy priorytet niż reguły w zarządzanych zestawach reguł i można je dostosować zgodnie z wymaganiami aplikacji i zabezpieczeń. Niestandardowe reguły WAF mogą również ograniczać dostęp do aplikacji internetowych na podstawie kraju lub regionów, dopasowując adres IP do kodu kraju.

Inną zaletą migracji do usługi WAFv2 jest możliwość nawiązania połączenia z bramą aplikacyjną systemu Azure za pośrednictwem usługi Azure Private Link podczas dostępu do niej z innej sieci wirtualnej lub innej subskrypcji. Ta funkcja umożliwia blokowanie publicznego dostępu do bramy aplikacyjnej systemu Azure, zezwalając tylko użytkownikom i urządzeniom na dostęp za pośrednictwem prywatnego punktu końcowego. W przypadku łączności usługi Azure Private Link należy zatwierdzić każde połączenie prywatnego punktu końcowego, co gwarantuje, że tylko właściwa jednostka będzie mogła uzyskać dostęp. Aby uzyskać więcej informacji na temat różnic między jednostkami SKU w wersji 1 i 2, zobacz Azure Application Gateway v2.

Azure Load Balancer

W związku z planowanym wycofaniem SKU Podstawowego Publicznego IP we wrześniu 2025, należy uaktualnić usługi korzystające z adresów IP SKU Podstawowego Publicznego IP. Firma Microsoft zaleca migrację bieżącego SKU Azure Load Balancers z wersji Podstawowej do Standardowej wersji SKU Azure Load Balancers, aby wdrożyć środki zabezpieczeń, które nie są dołączone w wersji Podstawowej.

W przypadku usługi Azure Load Balancer w SKU Standardowa, jesteś domyślnie bezpieczny. Cały przychodzący ruch internetowy do publicznego modułu równoważenia obciążenia jest blokowany, chyba że jest dozwolony przez reguły zastosowanej sieciowej grupy zabezpieczeń. To domyślne zachowanie zapobiega przypadkowemu zezwalaniu na ruch internetowy do maszyn wirtualnych lub usług zanim będziesz gotowy i gwarantuje kontrolę nad ruchem, który może uzyskiwać dostęp do twoich zasobów.

Usługa Azure Load Balancer w warstwie SKU Standard używa usługi Azure Private Link do tworzenia połączeń prywatnych punktów końcowych, co jest przydatne w przypadkach, gdy chcesz zezwolić na prywatny dostęp do zasobów za modułem równoważenia obciążenia, ale chcesz, aby użytkownicy uzyskiwali do niego dostęp z ich własnego środowiska.

Krok 3. Przegląd usług łączności hybrydowej

Przegląd usług łączności hybrydowej obejmuje użycie nowej generacji SKU dla usługi Azure VPN Gateway.

Na tym diagramie przedstawiono składniki aktualizacji usług łączności hybrydowej platformy Azure w architekturze referencyjnej.

Najbardziej efektywnym sposobem łączenia sieci hybrydowych na platformie Azure jest obecnie użycie jednostek SKU nowej generacji dla usługi Azure VPN Gateway. Chociaż można nadal korzystać z klasycznych bram sieci VPN, są one nieaktualne i mniej niezawodne i wydajne. Klasyczne bramy sieci VPN obsługują maksymalnie 10 tuneli Zabezpieczeń protokołu internetowego (IPsec), natomiast nowsze jednostki SKU usługi Azure VPN Gateway mogą skalować do 100 tuneli.

Nowsze jednostki SKU działają na nowszym modelu sterowników i zawierają najnowsze aktualizacje oprogramowania zabezpieczeń. Starsze modele sterowników były oparte na przestarzałych technologiach firmy Microsoft, które nie są odpowiednie dla nowoczesnych obciążeń. Nowsze modele sterowników nie tylko oferują lepszą wydajność i sprzęt, ale także zapewniają lepszą odporność. Zestaw az jednostek SKU bram sieci VPN można umieścić w strefach dostępności i obsługiwać aktywne-aktywne połączenia z wieloma publicznymi adresami IP, co zwiększa odporność i oferuje ulepszone opcje odzyskiwania po awarii.

Ponadto w przypadku potrzeb routingu dynamicznego klasyczne bramy sieci VPN nie mogły uruchomić protokołu BGP (Border Gateway Protocol), tylko używali protokołu IKEv1 i nie obsługiwali routingu dynamicznego. Podsumowując, klasyczne bramy VPN SKU są przeznaczone dla mniejszych obciążeń, niskiej przepustowości i połączeń statycznych.

Klasyczne bramy sieci VPN mają również ograniczenia dotyczące zabezpieczeń i funkcjonalności tuneli IPsec. Obsługują one tylko tryb oparty na zasadach z protokołem IKEv1 i ograniczonym zestawem szyfrowania i algorytmów wyznaczania wartości skrótu, które są bardziej podatne na naruszenia. Firma Microsoft zaleca przejście do nowych jednostek SKU, które oferują szerszy zakres opcji dla protokołów fazy 1 i fazy 2. Główną zaletą jest to, że oparte na trasach bramy sieci VPN mogą używać zarówno trybu głównego IKEv1, jak i IKEv2, zapewniając większą elastyczność implementacji i bardziej niezawodne algorytmy szyfrowania i wyznaczania wartości skrótu.

Jeśli potrzebujesz wyższych zabezpieczeń niż domyślne wartości szyfrowania, bramy sieci VPN oparte na trasach umożliwiają dostosowanie parametrów fazy 1 i fazy 2 w celu wybrania określonych szyfrów i długości kluczy. Silniejsze grupy szyfrowania obejmują grupę 14 (2048-bitową), grupę 24 (grupę MODP 2048-bitową) lub grupę ECP (grupy krzywej eliptycznej) 256-bitową lub 384-bitową (odpowiednio grupę 19 i grupę 20). Ponadto można określić, które zakresy prefiksów mogą wysyłać zaszyfrowany ruch przy użyciu ustawienia Selektor ruchu, aby dodatkowo zabezpieczyć negocjacje tunelu przed nieautoryzowanym ruchem.

Aby uzyskać więcej informacji, zobacz Kryptografia usługi Azure VPN Gateway.

Jednostki SKU usługi Azure VPN Gateway ułatwiają połączenia sieci VPN typu punkt-lokacja (P2S) w celu korzystania z protokołów IPsec opartych na standardowych protokołach IKEv2 i VPN opartych na protokole SSL/TLS, takich jak OpenVPN i Secure Socket Tunneling Protocol (SSTP). Ta obsługa zapewnia użytkownikom różne metody implementacji i umożliwia im łączenie się z platformą Azure przy użyciu różnych systemów operacyjnych urządzeń. Jednostki SKU usługi Azure VPN Gateway oferują również wiele opcji uwierzytelniania klienta, w tym uwierzytelnianie certyfikatem, uwierzytelnianie Microsoft Entra ID oraz uwierzytelnianie za pomocą usług domenowych Active Directory (AD DS).

Uwaga

Klasyczne bramy IPSec zostaną wycofane 31 sierpnia 2024 r.

Zalecane szkolenie

• Konfigurowanie sieci wirtualnych i zarządzanie nimi dla administratorów platformy Azure
• Zabezpieczanie i izolowanie dostępu do zasobów platformy Azure przy użyciu sieciowych grup zabezpieczeń i punktów końcowych usługi
• Wprowadzenie do usługi Azure Front Door
• Wprowadzenie do usługi Azure Application Gateway
• Wprowadzenie do usługi Azure Web Application Firewall
• Wprowadzenie do usługi Azure Private Link
• Łączenie sieci lokalnej z platformą Azure za pomocą usługi VPN Gateway

Następne kroki

Aby uzyskać więcej informacji na temat stosowania zasady Zero Trust w sieci platformy Azure, zapoznaj się z:

• Szyfrowanie komunikacji sieciowej opartej na platformie Azure
• Komunikacja sieciowa oparta na Azure
• Uzyskiwanie wglądu w ruch sieciowy
• Zabezpieczanie sieci za pomocą zera trustu
• Sieci wirtualne typu spoke na platformie Azure
• Sieci wirtualne centrum w Azure
• Sieci wirtualne jako szprychy z usługami PaaS w Azure
• Azure Virtual WAN

Bibliografia

Zapoznaj się z tymi linkami, aby dowiedzieć się więcej o różnych usługach i technologiach wymienionych w tym artykule.

• Usługi IP sieci wirtualnej platformy Azure
• Azure NAT Gateway
• Azure Load Balancer
• Azure Front Door
• Azure Application Gateway
• Azure Content Delivery Network
• Zapora aplikacji sieciowych Azure (WAF)
• Link prywatny platformy Azure
• Azure VPN Gateway