Stosowanie zasad Zero Trust do segmentowania komunikacji sieciowej opartej na platformie Azure
Ten artykuł zawiera wskazówki dotyczące stosowania zasad zerowego zaufania do segmentowania sieci w środowiskach platformy Azure. Poniżej przedstawiono zasady zero trustu.
| Zasada zerowego zaufania | Definicja |
|---|---|
| Jawną weryfikację | Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych. |
| Używanie dostępu z jak najmniejszą liczbą uprawnień | Ogranicz dostęp użytkowników za pomocą zasad just in time i Just-Enough-Access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych. |
| Zakładanie naruszeń zabezpieczeń | Zminimalizuj promień wybuchu i dostęp segmentu. Zweryfikuj kompleksowe szyfrowanie i korzystaj z analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę. Możesz zminimalizować promień wybuchu ataków cybernetycznych i dostęp segmentów, wykonując segmentację sieci na różnych poziomach infrastruktury platformy Azure. |
Ten artykuł jest częścią serii artykułów , które pokazują, jak zastosować zasady zero trust do sieci platformy Azure.
W miarę rozwoju organizacji od małych firm do dużych przedsiębiorstw często muszą przejść z jednej subskrypcji platformy Azure do wielu subskrypcji, aby oddzielić zasoby dla każdego działu. Ważne jest, aby starannie zaplanować segmentację sieci w celu utworzenia granic logicznych i izolacji między środowiskami.
Każde środowisko, zwykle odzwierciedla oddzielny dział organizacji, powinno mieć własne uprawnienia dostępu i zasady dla określonych obciążeń. Na przykład użytkownicy z wewnętrznej subskrypcji dewelopera oprogramowania nie powinni mieć dostępu do zarządzania zasobami sieciowymi i wdrażania ich w subskrypcji łączności. Jednak te środowiska nadal potrzebują łączności sieciowej, aby uzyskać wymagane funkcje dla podstawowych usług, takich jak DNS, łączność hybrydowa i możliwość dotarcia do innych zasobów w różnych sieciach wirtualnych platformy Azure.
Segmentacja infrastruktury platformy Azure zapewnia nie tylko izolację, ale może również tworzyć granice zabezpieczeń, które uniemożliwiają osobie atakującej przejście między środowiskami i spowodowanie dodatkowych szkód ( zasada Przyjmij naruszenie zabezpieczeń Zero Trust).
Architektura odwołań
Możesz użyć różnych poziomów segmentacji na platformie Azure, aby chronić zasoby przed nieautoryzowanym dostępem lub złośliwym atakiem. Te poziomy segmentacji zaczynają się na poziomie subskrypcji i przechodzą aż do aplikacji działających na maszynach wirtualnych. Segmentacja tworzy granicę, która oddziela jedno środowisko od drugiego przy użyciu własnych reguł i zasad. Przy założeniu, że mogą wystąpić naruszenia, należy podzielić sieci na segmenty, aby zapobiec ich rozprzestrzenianiu.
Sieć platformy Azure używa następujących poziomów segmentacji:
Subskrypcje
Subskrypcja platformy Azure to kontener logiczny, który służy do aprowizowania zasobów na platformie Azure. Jest ona połączona z kontem platformy Azure w dzierżawie identyfikatora Entra firmy Microsoft i służy jako pojedyncza jednostka rozliczeniowa dla zasobów platformy Azure przypisanych do subskrypcji. Subskrypcja platformy Azure jest również logiczną granicą dostępu do zasobów zawartych w subskrypcji. Dostęp między zasobami w różnych subskrypcjach wymaga jawnych uprawnień.
Sieci wirtualne
Sieć wirtualna platformy Azure to izolowana sieć prywatna, która domyślnie zezwala wszystkim maszynom wirtualnym w niej na komunikowanie się ze sobą. Domyślnie sieci wirtualne nie mogą komunikować się z innymi sieciami wirtualnymi, chyba że utworzysz połączenia między nimi za pośrednictwem komunikacji równorzędnej, połączeń sieci VPN lub usługi ExpressRoute. Poszczególne sieci wirtualne mogą być używane jako granica zaufania, która dzieli różne aplikacje, obciążenia, działy lub organizacje.
Azure Virtual Network Manager (AVNM) to usługa zarządzania siecią, która umożliwia jednemu zespołowi administracyjnemu zarządzanie sieciami wirtualnymi i wymuszanie reguł zabezpieczeń w wielu subskrypcjach na całym świecie. Za pomocą programu AVNM można zdefiniować grupy sieciowe w celu określenia, które sieci wirtualne mogą komunikować się ze sobą. Możesz również użyć narzędzia AVNM do monitorowania zmian konfiguracji sieci.
Obciążenia w sieci wirtualnej
W przypadku obciążeń w sieci wirtualnej, takich jak maszyny wirtualne lub usługi PaaS, które obsługują integrację z siecią wirtualną, taką jak Azure Databricks i App Service, komunikacja jest domyślnie dozwolona, ponieważ jest ona zawarta w tej samej sieci wirtualnej i musi być dodatkowo zabezpieczona przy użyciu sieciowych grup zabezpieczeń. Narzędzia i usługi do segmentacji w sieci wirtualnej obejmują następujące elementy:
Azure Firewall
Azure Firewall to usługa wdrożona w sieci wirtualnej w celu filtrowania ruchu między zasobami w chmurze, środowiskiem lokalnym i Internetem. Za pomocą usługi Azure Firewall można zdefiniować reguły i zasady, aby zezwalać na ruch lub blokować go w warstwach sieci i aplikacji. Możesz również skorzystać z zaawansowanych funkcji ochrony przed zagrożeniami udostępnianych przez usługę Azure Firewall, takich jak wykrywanie nieautoryzowanego dostępu i zapobieganie (IDPS), inspekcja protokołu Transport Layer Security (TLS) i filtrowanie oparte na analizie zagrożeń.
Sieciowa grupa zabezpieczeń
Sieciowa grupa zabezpieczeń to mechanizm kontroli dostępu, który filtruje ruch sieciowy między zasobami platformy Azure, takimi jak maszyny wirtualne w sieci wirtualnej. Sieciowa grupa zabezpieczeń zawiera reguły zabezpieczeń, które zezwalają na ruch na poziomie podsieci lub maszyny wirtualnej w sieci wirtualnej lub nie zezwalają na ruch. Typowym zastosowaniem sieciowych grup zabezpieczeń jest segmentowanie zestawów maszyn wirtualnych w różnych podsieciach.
Grupa zabezpieczeń aplikacji
Grupa zabezpieczeń aplikacji to rozszerzenie sieciowej grupy zabezpieczeń, która umożliwia grupowanie interfejsów sieciowych maszyn wirtualnych na podstawie ich ról i funkcji. Następnie można użyć grup zabezpieczeń aplikacji w sieciowej grupie zabezpieczeń na dużą skalę bez konieczności definiowania adresów IP maszyn wirtualnych.
Azure Front Door
Usługa Azure Front Door to nowoczesna usługa Content Delivery Network (CDN) firmy Microsoft, która zapewnia szybki, niezawodny i bezpieczny dostęp między użytkownikami a statyczną i dynamiczną zawartością internetową aplikacji na całym świecie.
Na poniższym diagramie przedstawiono architekturę referencyjną dla poziomów segmentacji.
Na diagramie stałe czerwone linie wskazują poziomy segmentacji między:
- Subskrypcje platformy Azure
- Sieci wirtualne w subskrypcji
- Podsieci w sieci wirtualnej
- Internet i sieć wirtualna
Na diagramie przedstawiono również zestaw sieci wirtualnych zarządzanych przez usługę AVNM, które mogą obejmować subskrypcje platformy Azure.
Co znajduje się w tym artykule?
Zasady zero trust są stosowane w całej architekturze referencyjnej w chmurze platformy Azure. W poniższej tabeli opisano zalecenia dotyczące segmentowania sieci w tej architekturze w celu przestrzegania zasady Przyjmij naruszenie zabezpieczeń Zero Trust.
| Krok | Zadanie |
|---|---|
| 1 | Segmentuj w ramach poszczególnych sieci wirtualnych. |
| 2 | Łączenie wielu sieci wirtualnych z komunikacją równorzędną. |
| 3 | Łączenie wielu sieci wirtualnych w konfiguracji piasty i szprych. |
Krok 1. Segmentowanie w poszczególnych sieciach wirtualnych
W ramach jednej sieci wirtualnej w subskrypcji platformy Azure użyjesz podsieci, aby uzyskać separację i segmentację zasobów. Na przykład w sieci wirtualnej może istnieć podsieć dla serwerów baz danych, inna dla aplikacji internetowych oraz dedykowana podsieć dla usługi Azure Firewall lub aplikacja systemu Azure Gateway z zaporą aplikacji internetowej. Domyślnie cała komunikacja między podsieciami jest włączona w sieci wirtualnej.
Aby utworzyć izolację między podsieciami, można zastosować sieciowe grupy zabezpieczeń lub grupy zabezpieczeń aplikacji, aby zezwolić na określony ruch sieciowy na podstawie adresów IP, portów lub protokołów. Jednak projektowanie i utrzymywanie sieciowych grup zabezpieczeń i grup zabezpieczeń aplikacji może również tworzyć nakłady pracy związane z zarządzaniem.
Na tej ilustracji przedstawiono wspólną i zalecaną konfigurację aplikacji trójwarstwowej z oddzielnymi podsieciami dla każdej warstwy oraz użycie sieciowych grup zabezpieczeń i grup zabezpieczeń aplikacji do tworzenia granic segmentowanych między poszczególnymi podsieciami.
Można również osiągnąć segmentację zasobów, routing ruchu między podsieciami przy użyciu tras zdefiniowanych przez użytkownika (UDR) wskazujących usługę Azure Firewall lub wirtualne urządzenie sieciowe innej firmy (WUS). Usługa Azure Firewall i urządzenia WUS mają również możliwość zezwolenia lub odmowy ruchu przy użyciu kontrolek warstwy 3 do warstwy 7. Większość tych usług zapewnia zaawansowane możliwości filtrowania.
Aby uzyskać więcej informacji, zobacz wskazówki w temacie Wzorzec 1: pojedyncza sieć wirtualna.
Krok 2. Łączenie wielu sieci wirtualnych za pomocą komunikacji równorzędnej
Domyślnie nie ma dozwolonej komunikacji między sieciami wirtualnymi z jedną subskrypcją platformy Azure lub w wielu subskrypcjach. Wiele sieci wirtualnych, z których każda należy do różnych jednostek, ma własne mechanizmy kontroli dostępu. Mogą łączyć się ze sobą lub ze scentralizowaną siecią wirtualną koncentratora przy użyciu komunikacji równorzędnej sieci wirtualnych, gdzie usługa Azure Firewall lub urządzenie WUS innej firmy sprawdza cały ruch.
Ta ilustracja przedstawia połączenie komunikacji równorzędnej sieci wirtualnych między dwiema sieciami wirtualnymi i użycie usługi Azure Firewall na każdym końcu połączenia.
Sieć wirtualna koncentratora zwykle zawiera składniki udostępnione, takie jak zapory, dostawcy tożsamości i składniki łączności hybrydowej, między innymi. Zarządzanie trasami zdefiniowanymi przez użytkownika staje się prostsze, ponieważ dodanie określonych prefiksów zdefiniowanych przez użytkownika dla mikrosegmentacji byłoby konieczne tylko wtedy, gdy ruch wewnątrz sieci wirtualnej jest wymagany. Jednak ponieważ sieć wirtualna ma własne granice, mechanizmy kontroli zabezpieczeń są już wprowadzone.
Aby uzyskać więcej informacji, skorzystaj z następujących wskazówek:
- Zapora i usługa Application Gateway dla sieci wirtualnych
- Wzorzec 2: Wiele sieci wirtualnych z komunikacją równorzędną między nimi
- Stosowanie zasad Zero Trust do sieci wirtualnej będącej szprychą na platformie Azure
- Stosowanie zasad Zero Trust do sieci wirtualnej koncentratora na platformie Azure
Krok 3. Łączenie wielu sieci wirtualnych w konfiguracji piasty i szprych
W przypadku wielu sieci wirtualnych w konfiguracji piasty i szprych należy wziąć pod uwagę sposób segmentowania ruchu sieciowego dla tych granic:
- Granica internetowa
- Granica sieci lokalnej
- Granice dla globalnych usług platformy Azure
Granica internetowa
Zabezpieczanie ruchu internetowego jest podstawowym priorytetem w zabezpieczeniach sieci, które polega na zarządzaniu ruchem przychodzącym z Internetu (niezaufanym) i ruchem wychodzącym kierowanym do Internetu (zaufanego) z obciążeń platformy Azure.
Firma Microsoft zaleca, aby ruch przychodzący z Internetu miał jeden punkt wejścia. Firma Microsoft zdecydowanie zachęca do przechodzenia ruchu przychodzącego przez zasób PaaS platformy Azure, taki jak Azure Firewall, Azure Front Door lub aplikacja systemu Azure Gateway. Te zasoby PaaS oferują więcej możliwości niż maszyna wirtualna z publicznym adresem IP.
Azure Firewall
Na tej ilustracji pokazano, jak usługa Azure Firewall we własnej podsieci działa jako centralny punkt wejścia i granica segmentacji dla ruchu między Internetem a obciążeniem trójwarstwowym w sieci wirtualnej platformy Azure.
Aby uzyskać więcej informacji, zobacz Azure Firewall w witrynie Microsoft Azure Well-Architected Framework.
Azure Front Door
Usługa Azure Front Door może działać jako granica między Internetem a usługami hostowanymi na platformie Azure. Usługa Azure Front Door obsługuje łączność usługi Private Link z zasobami, takimi jak wewnętrzne równoważenie obciążenia (ILB) na potrzeby dostępu do sieci wirtualnej, konta magazynu statycznych witryn internetowych i magazynu obiektów blob oraz usługi aplikacja systemu Azure. Usługa Azure Front Door jest zwykle wykonywana w przypadku wdrożeń na dużą skalę.
Usługa Azure Front Door to usługa równoważenia obciążenia. Infrastruktura usługi Azure Front Door ma wbudowaną ochronę przed atakami DDoS. Po włączeniu buforowania można pobierać zawartość z lokalizacji punktu obecności (POP), a nie stale uzyskiwać dostęp do serwerów zaplecza. Po wygaśnięciu pamięci podręcznej usługa Azure Front Door pobiera żądany zasób i aktualizuje pamięć podręczną. Zamiast użytkownicy końcowi uzyskują dostęp do swoich serwerów, usługa Azure Front Door używa protokołu SPLIT TCP dla dwóch oddzielnych połączeń. Poprawia to nie tylko środowisko użytkownika końcowego, ale uniemożliwia złośliwym podmiotom bezpośredni dostęp do zasobów.
Na tej ilustracji przedstawiono sposób, w jaki usługa Azure Front Door zapewnia segmentację między użytkownikami internetowymi i zasobami platformy Azure, które mogą znajdować się na kontach magazynu.
Aby uzyskać więcej informacji, zobacz Azure Front Door w witrynie Azure Well-Architected Framework.
Usługa Azure Application Gateway
Punkt wejścia internetowego może być również kombinacją punktów ruchu przychodzącego. Na przykład ruch HTTP/HTTPS może przechodzić przez usługę Application Gateway chronioną przez zaporę aplikacji internetowej lub usługę Azure Front Door. Ruch inny niż HTTP/HTTPS, taki jak RDP/SSH, może przychodzące za pośrednictwem usługi Azure Firewall lub urządzenia WUS. Te dwa elementy można używać razem do dokładniejszej inspekcji i kontrolowania przepływu ruchu przy użyciu tras zdefiniowanych przez użytkownika.
Na tej ilustracji przedstawiono ruch przychodzący z Internetu oraz użycie usługi Application Gateway z zaporą aplikacji internetowej dla ruchu HTTP/HTTPS i usługą Azure Firewall dla całego innego ruchu.
Dwa często zalecane scenariusze to:
- Umieść usługę Azure Firewall lub urządzenie WUS równolegle z usługą Application Gateway.
- Umieść usługę Azure Firewall lub urządzenie WUS po usłudze Application Gateway w celu dalszej inspekcji ruchu przed dotarciem do miejsca docelowego.
Aby uzyskać więcej informacji, zobacz aplikacja systemu Azure Gateway w witrynie Microsoft Azure Well-Architected Framework.
Poniżej przedstawiono dodatkowe typowe wzorce przepływów ruchu internetowego.
Ruch przychodzący przy użyciu wielu interfejsów
Jednym z podejść jest użycie wielu interfejsów sieciowych na maszynach wirtualnych podczas korzystania z urządzeń WUS: jeden interfejs dla niezaufanego ruchu (dostępnego na zewnątrz), a drugi dla zaufanego ruchu (ruch wewnętrzny). Jeśli chodzi o przepływ ruchu, należy kierować ruch przychodzący ze środowiska lokalnego do urządzenia WUS przy użyciu tras zdefiniowanych przez użytkownika. Ruch przychodzący z Internetu odebrany przez urządzenie WUS musi być kierowany do obciążenia docelowego w odpowiedniej sieci wirtualnej lub podsieci przez kombinację tras statycznych w urządzeniu systemu operacyjnego gościa i trasach zdefiniowanych przez użytkownika.
Ruch wychodzący i trasy zdefiniowane przez użytkownika
W przypadku ruchu wychodzącego z sieci wirtualnej dla Internetu można zastosować trasę zdefiniowaną przez użytkownika przy użyciu tabeli tras z wybranym urządzeniem WUS jako następnym przeskokiem. Aby zmniejszyć złożoność, możesz wdrożyć usługę Azure Firewall lub urządzenie WUS w centrum usługi Azure Virtual WAN i włączyć zabezpieczenia internetowe za pomocą intencji routingu. Gwarantuje to, że zarówno ruch północno-południowy (przychodzący i wychodzący z zakresu sieci) i ruch wschodnio-zachodni (między urządzeniami w zakresie sieci) przeznaczony dla wirtualnych adresów IP platformy Azure (VIP) jest sprawdzany.
Ruch wychodzący i trasa domyślna
Niektóre metody obejmują zarządzanie trasą domyślną (0.0.0.0/0) przy użyciu różnych metod. Ogólnie rzecz biorąc, zaleca się, aby ruch wychodzący pochodzący z platformy Azure korzysta z punktów wyjścia i inspekcji za pomocą usługi Azure Firewall lub urządzeń WUS ze względu na przepływność, którą może obsłużyć infrastruktura platformy Azure, co w większości przypadków może być znacznie większe i bardziej odporne. W takim przypadku skonfigurowanie trasy domyślnej w podsieciach obciążenia może wymusić ruch do tych punktów wyjścia. Możesz również kierować ruch wychodzący ze środowiska lokalnego do platformy Azure jako punkt wyjścia. W takim przypadku użyj usługi Azure Route Server w połączeniu z urządzeniem WUS, aby anonsować domyślną trasę do środowiska lokalnego przy użyciu protokołu BGP (Border Gateway Protocol).
Istnieją specjalne przypadki, gdy cały ruch wychodzący ma być kierowany z powrotem do środowiska lokalnego przez anonsowanie trasy domyślnej za pośrednictwem protokołu BGP. Wymusza to ruch opuszczający sieć wirtualną do tunelowania za pośrednictwem sieci lokalnej do zapory w celu przeprowadzenia inspekcji. To ostatnie podejście jest najmniej pożądane ze względu na zwiększone opóźnienie i brak mechanizmów kontroli zabezpieczeń udostępnianych przez platformę Azure. Ta praktyka jest powszechnie stosowana przez sektor rządowy i bankowy, które mają szczególne wymagania dotyczące kontroli ruchu drogowego w ich środowisku lokalnym.
Pod względem skali:
- W przypadku pojedynczej sieci wirtualnej można użyć sieciowych grup zabezpieczeń, które są ściśle zgodne z semantykami warstwy 4, lub można użyć usługi Azure Firewall zgodnej zarówno z semantykami warstwy 4, jak i 7.
- W przypadku wielu sieci wirtualnych pojedyncza usługa Azure Firewall może być nadal używana, jeśli jest osiągalna, lub można wdrożyć usługę Azure Firewall w każdej sieci wirtualnej i kierować ruchem za pomocą tras zdefiniowanych przez użytkownika.
W przypadku dużych sieci rozproszonych przedsiębiorstwa nadal można używać modelu piasty i szprych oraz bezpośredniego ruchu z trasami zdefiniowanymi przez użytkownika. Może to jednak prowadzić do obciążeń związanych z zarządzaniem i limitami komunikacji równorzędnej sieci wirtualnych. W celu ułatwienia użycia usługa Azure Virtual WAN może to osiągnąć, jeśli wdrożysz usługę Azure Firewall w koncentratorze wirtualnym i aktywujesz intencję routingu dla zabezpieczeń internetowych. Spowoduje to wstrzyknięcie domyślnych tras we wszystkich sieciach szprych i oddziałów oraz wysłanie ruchu powiązanego z Internetem do usługi Azure Firewall w celu przeprowadzenia inspekcji. Ruch prywatny przeznaczony do bloków adresów RFC 1918 jest wysyłany do usługi Azure Firewall lub urządzenia WUS jako wyznaczonego następnego przeskoku wewnątrz koncentratora usługi Azure Virtual WAN.
Granica sieci lokalnej
Na platformie Azure główne metody nawiązywania łączności z sieciami lokalnymi obejmują tunele protokołu internetowego (IPsec), tunele usługi ExpressRoute lub tunele zdefiniowane programowo w sieci WAN (SD-WAN). Zazwyczaj używasz połączenia sieci VPN typu lokacja-lokacja platformy Azure (S2S) dla mniejszych obciążeń, które wymagają mniejszej przepustowości. W przypadku obciążeń wymagających dedykowanej ścieżki usługi i większej przepływności firma Microsoft zaleca usługę ExpressRoute.
Na tej ilustracji przedstawiono różne typy metod połączenia między środowiskiem platformy Azure i siecią lokalną.
Chociaż połączenia sieci VPN platformy Azure mogą obsługiwać wiele tuneli, usługa ExpressRoute jest często skonfigurowana dla większych sieci korporacyjnych wymagających wyższej przepustowości i połączeń prywatnych za pośrednictwem partnera łączności. W przypadku usługi ExpressRoute można połączyć tę samą sieć wirtualną z wieloma obwodami, ale w celach segmentacji często nie jest to idealne rozwiązanie, ponieważ umożliwia sieciom wirtualnym, które nie są ze sobą połączone.
Jedną z metod segmentacji jest wybranie, aby nie używać bramy zdalnej w sieciach wirtualnych szprych lub wyłączania propagacji tras protokołu BGP, jeśli używasz tabel tras. Nadal można segmentować koncentratory połączone z usługą ExpressRoute za pomocą urządzeń WUS i zapór. W przypadku szprych równorzędnych z koncentratorami można nie używać bramy zdalnej we właściwościach komunikacji równorzędnej sieci wirtualnych. W ten sposób szprychy uczą się tylko o ich bezpośrednio połączonych koncentratorach, a nie o żadnych trasach lokalnych.
Innym pojawiającym się podejściem do segmentowania ruchu przechodzącego do i z środowiska lokalnego jest użycie technologii SD-WAN. Lokalizacje gałęzi można rozszerzyć na usługę Azure SD-WAN przy użyciu urządzeń WUS innych firm na platformie Azure w celu utworzenia segmentacji na podstawie tuneli SD-WAN pochodzących z różnych gałęzi wewnątrz urządzeń WUS. Za pomocą usługi Azure Route Server można wstrzyknąć prefiksy adresów tuneli SD-WAN do platformy Azure dla topologii piasty i szprych.
W przypadku topologii wirtualnej sieci WAN można mieć bezpośrednią integrację urządzenia WAN innej firmy z wirtualnym koncentratorem SD-WAN. Możesz również użyć punktów końcowych protokołu BGP, aby umożliwić korzystanie z rozwiązań SD-WAN, tworząc tunele z wirtualnego urządzenia WUS zintegrowanego z koncentratorem.
W obu modelach można użyć usługi ExpressRoute do segmentowania podstawowej łączności prywatnej lub publicznej z prywatną komunikacją równorzędną lub komunikacją równorzędną firmy Microsoft. W przypadku zabezpieczeń powszechną praktyką jest anonsacja trasy domyślnej za pośrednictwem usługi ExpressRoute. Powoduje to, że cały ruch opuszczający sieć wirtualną do tunelowania do sieci lokalnej w celu przeprowadzenia inspekcji. Podobnie ruch przychodzący zarówno przez sieć VPN, jak i usługę ExpressRoute można wysyłać do urządzenia WUS w celu dalszej inspekcji. Dotyczy to również ruchu opuszczającego platformę Azure. Te metody są proste, gdy środowisko jest mniejsze, takie jak jeden lub dwa regiony.
W przypadku dużych, rozproszonych sieci można również użyć usługi Azure Virtual WAN, aktywując inspekcję ruchu prywatnego przy użyciu intencji routingu. Powoduje to kierowanie całego ruchu kierowanego do prywatnego adresu IP urządzenia WUS w celu przeprowadzenia inspekcji. Podobnie jak w przypadku powyższych metod, jest to znacznie łatwiejsze do zarządzania, gdy środowisko obejmuje wiele regionów.
Inne podejście z usługą Azure Virtual WAN polega na użyciu niestandardowych tabel tras na potrzeby granic izolacji. Możesz utworzyć trasy niestandardowe i skojarzyć i propagować tylko sieci wirtualne, które chcesz umieścić w tych tabelach tras. Jednak ta funkcja nie może być obecnie łączona z intencją routingu. Aby odizolować gałęzie, można przypisać etykiety, aby skojarzyć gałęzie z etykietą. Można również wyłączyć propagację do etykiety domyślnej dla poszczególnych centrów. Obecnie nie można oddzielnie odizolować poszczególnych gałęzi na platformie Azure w jednym koncentratonie. Na przykład nie można odizolować sieci SD-WAN od usługi ExpressRoute. Jednak w całym centrum można wyłączyć propagację do etykiety domyślnej.
Granice dla globalnych usług platformy Azure
Na platformie Azure większość usług jest domyślnie dostępna za pośrednictwem globalnej sieci WAN platformy Azure. Dotyczy to również publicznego dostępu do usług PaaS platformy Azure. Na przykład usługa Azure Storage ma wbudowaną zaporę, która może ograniczyć dostęp do sieci wirtualnych i zablokować dostęp publiczny. Jednak często potrzebna jest bardziej szczegółowa kontrola. Typową preferencją jest prywatne łączenie się z adresami VIP platformy Azure zamiast używania domyślnych publicznych adresów IP.
Najczęstszą metodą ograniczania dostępu do zasobów PaaS jest usługa Azure Private Link. Po utworzeniu prywatnego punktu końcowego zostanie on wstrzyknięty do sieci wirtualnej. Platforma Azure używa tego prywatnego adresu IP do tunelowania do zasobu PaaS, o których mowa. Platforma Azure mapuje rekord DNS A na prywatny punkt końcowy przy użyciu stref usługi Azure Prywatna strefa DNS i mapuje rekord CNAME na zasób PaaS łącza prywatnego.
Punkty końcowe usługi oferują alternatywną metodę nawiązywania połączenia z adresami VIP paaS. Możesz wybrać tagi usługi, aby zezwolić na połączenia ze wszystkimi zasobami PaaS w ramach tego tagu i zapewnić prywatną łączność z zasobem PaaS.
Inną powszechną metodą jest użycie komunikacji równorzędnej firmy Microsoft dla usługi ExpressRoute. Jeśli chcesz nawiązać połączenie z adresami VIP paaS ze środowiska lokalnego, możesz skonfigurować komunikację równorzędną firmy Microsoft. Możesz wybrać społeczność protokołu BGP dla vipów, które mają być używane, i jest to anonsowane na ścieżce komunikacji równorzędnej firmy Microsoft.
Aby uzyskać więcej informacji, skorzystaj z następujących wskazówek:
- Zapora i usługa Application Gateway dla sieci wirtualnych
- Wzorzec 3: Wiele sieci wirtualnych w modelu piasty i szprych
Podsumowanie segmentacji
Ta tabela zawiera podsumowanie różnych poziomów segmentacji i metod zabezpieczeń.
| Między | Zachowanie domyślne | Komunikacja włączona przez... | Metody zabezpieczeń segmentacji |
|---|---|---|---|
| Subskrypcje | Brak komunikacji | - Komunikacja równorzędna sieci wirtualnych - Bramy sieci VPN |
Azure Firewall |
| Sieci wirtualne | Brak komunikacji | - Komunikacja równorzędna sieci wirtualnych - Bramy sieci VPN |
Azure Firewall |
| Obciążenia w podsieciach w sieci wirtualnej | Otwarta komunikacja | Nie dotyczy | - Sieciowe grupy zabezpieczeń — Grupy zabezpieczeń aplikacji |
| Internet i sieć wirtualna | Brak komunikacji | — Moduł równoważenia obciążenia - Publiczny adres IP - Application Gateway — Azure Front Door |
- aplikacja systemu Azure Gateway z zaporą aplikacji internetowej — Azure Firewall — Usługa Azure Front Door z zaporą aplikacji internetowej |
| Internet i sieci lokalne | Brak komunikacji | — Sieć VPN typu lokacja-lokacja platformy Azure - Tunel IPSec - Tunel usługi ExpressRoute - Tunel SD-WAN |
Azure Firewall |
| Internet i maszyny wirtualne w sieci wirtualnej | Brak komunikacji, jeśli maszyny wirtualne mają tylko prywatne adresy IP | Przypisywanie maszyny wirtualnej publicznego adresu IP | Zapora lokalnej maszyny wirtualnej |
Zalecane szkolenie
- Konfigurowanie sieci wirtualnych i zarządzanie nimi dla administratorów platformy Azure
- Wprowadzenie do usługi Azure Web Application Firewall
- Zabezpieczanie i izolowanie dostępu do zasobów platformy Azure przy użyciu sieciowych grup zabezpieczeń i punktów końcowych usługi
- Wprowadzenie do usługi Azure Front Door
- Wprowadzenie do usługi aplikacja systemu Azure Gateway
- Wprowadzenie do usługi Azure Private Link
- Wprowadzenie do usługi Azure Virtual WAN
- Łączenie sieci lokalnej z platformą Azure za pomocą usługi VPN Gateway
Następne kroki
Aby uzyskać dodatkowe informacje na temat stosowania usługi Zero Trust do sieci platformy Azure, zobacz:
- Szyfrowanie komunikacji sieciowej opartej na platformie Azure
- Uzyskiwanie wglądu w ruch sieciowy
- Zaprzestanie starszej technologii zabezpieczeń sieci
- Zabezpieczanie sieci za pomocą zera trustu
- Sieci wirtualne będące szprychami na platformie Azure
- Sieci wirtualne koncentratora na platformie Azure
- Sieci wirtualne będące szprychami z usługami PaaS platformy Azure
- Azure Virtual WAN
Informacje
Zapoznaj się z tymi linkami, aby dowiedzieć się więcej o różnych usługach i technologiach wymienionych w tym artykule.
- Menedżer sieci wirtualnej platformy Azure
- Azure Firewall
- Sieciowe grupy zabezpieczeń
- Grupy zabezpieczeń aplikacji
- Azure Front Door
- Usługa Azure Application Gateway
- Zapora aplikacji internetowej
- Link prywatny platformy Azure
- Azure Virtual WAN
- Zabezpieczenia internetowe z intencją routingu
- Połączenie sieci VPN typu lokacja-lokacja (S2S) platformy Azure
- Azure Route Server