Zabezpieczanie sieci za pomocą Zero Trust

Dane big data stanowią nowe możliwości uzyskiwania nowych szczegółowych informacji i uzyskiwania przewagi konkurencyjnej. Odchodzimy od epoki, w której sieci były jasno zdefiniowane i zwykle specyficzne dla określonej lokalizacji. Chmura, urządzenia przenośne i inne punkty końcowe rozszerzają granice i zmieniają paradygmat. Teraz nie musi istnieć sieć zawarta/zdefiniowana do zabezpieczenia. Zamiast tego istnieje ogromne portfolio urządzeń i sieci połączonych przez chmurę.

Zamiast wierzyć, że wszystko za zaporą firmową jest bezpieczne, kompleksowa strategia Zero Trust zakłada, że naruszenia są nieuniknione. Oznacza to, że należy zweryfikować każde żądanie tak, jakby pochodziło z niekontrolowanych sieci — zarządzanie tożsamościami odgrywa w tym kluczową rolę.

W modelu Zero Trust istnieją trzy kluczowe cele, jeśli chodzi o zabezpieczanie sieci:

• Przygotuj się do obsługi ataków przed ich wykonaniem.

• Zminimalizuj zakres uszkodzeń i szybkość rozprzestrzeniania się.

• Zwiększ trudności z naruszeniem śladu chmury.

Aby tak się stało, przestrzegamy trzech zasad Zero Trust:

• Sprawdź jawnie. Zawsze uwierzytelniaj i autoryzuj na podstawie wszystkich dostępnych punktów danych, w tym tożsamości użytkownika, lokalizacji, kondycji urządzenia, usługi lub obciążenia, klasyfikacji danych i anomalii.

• Użyj dostępu z najniższymi uprawnieniami. Ogranicz dostęp użytkowników za pomocą zasad Just-In-Time i Just-Enough-Access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych, aby chronić zarówno dane, jak i produktywność.

• Przyjmij naruszenie. Minimalizuj promień wybuchu w przypadku naruszeń i zapobiegaj penetracji sieci, segmentując dostęp według sieci, użytkowników, urządzeń i rozpoznawania aplikacji. Sprawdź, czy wszystkie sesje są szyfrowane na końcu. Użyj analizy, aby uzyskać widoczność, napędzać wykrywanie zagrożeń i ulepszać zabezpieczenia.

Cele wdrażania Zero Trust sieci

Przedrozpoczęciem Zero Trust podróży przez większość organizacji mają zabezpieczenia sieci, które charakteryzują się następującymi elementami:

• Niewiele obwodów zabezpieczeń sieci i otwartych, prostych sieci.

• Minimalna ochrona przed zagrożeniami i filtrowanie ruchu statycznego.

• Niezaszyfrowany ruch wewnętrzny.

Podczas implementowania kompleksowej platformy Zero Trust na potrzeby zabezpieczania sieci zalecamy skupienie się najpierw na tych początkowych celach wdrażania:
	SegmentacjaI.Network: wiele mikro-obwodów chmury ruchu przychodzącego/wychodzącego z mikrosegmentacją. II.Ochrona przed zagrożeniami: natywne filtrowanie i ochrona w chmurze pod kątem znanych zagrożeń. III.Szyfrowanie: ruch wewnętrzny typu użytkownik-aplikacja jest szyfrowany.
Po zakończeniu tych czynności skoncentruj się na następujących dodatkowych celach wdrażania:
	IV.Segmentacja sieci: w pełni rozproszona mikro-obwody ruchu przychodzącego/wychodzącego w chmurze oraz głębsza mikrosegmentacja. Ochrona przedzagrożeniami: ochrona przed zagrożeniami oparta na uczeniu maszynowym i filtrowanie za pomocą sygnałów opartych na kontekście. VI.Szyfrowanie: cały ruch jest szyfrowany. VII.Zaprzestanie starszej technologii zabezpieczeń sieci.

Przewodnik wdrażania Zero Trust sieci

Ten przewodnik przeprowadzi Cię przez kroki wymagane do zabezpieczenia sieci zgodnie z zasadami platformy zabezpieczeń Zero Trust.

Początkowe cele wdrożenia

I. Segmentacja sieci: wiele mikro-obwodów chmury ruchu przychodzącego/wychodzącego z mikrosegmentacją

Organizacje nie powinny mieć tylko jednego, dużego potoku w sieci i poza nie. W podejściu Zero Trust sieci są zamiast nich podzielone na mniejsze wyspy, na których znajdują się określone obciążenia. Każdy segment ma własne kontrolki ruchu przychodzącego i wychodzącego, aby zminimalizować "promień wybuchu" nieautoryzowanego dostępu do danych. Dzięki zaimplementowaniu zdefiniowanych programowo obwodów ze szczegółowymi kontrolkami zwiększa się trudność propagacji nieautoryzowanych podmiotów w całej sieci, co zmniejsza penetrację sieci.

Nie ma projektu architektury, który odpowiada potrzebom wszystkich organizacji. Istnieje możliwość między kilkoma typowymi wzorcami projektowymi segmentowania sieci zgodnie z modelem Zero Trust.

W tym przewodniku wdrażania przeprowadzimy Cię przez kroki umożliwiające osiągnięcie jednego z tych projektów: mikrosegmentacji.

Dzięki mikrosegmentacji organizacje mogą wykraczać poza proste, scentralizowane obwody oparte na sieci w celu kompleksowej i rozproszonej segmentacji przy użyciu zdefiniowanych programowo mikro obwodów.

Aplikacje są partycjonowane na różne sieci wirtualne platformy Azure i połączone przy użyciu modelu piasty i szprych

Wykonaj następujące kroki:

1. Utwórz dedykowane sieci wirtualne dla różnych aplikacji i/lub składników aplikacji.

2. Utwórz centralną sieć wirtualną, aby skonfigurować stan zabezpieczeń dla łączności między aplikacjami i połączyć sieci wirtualne aplikacji w architekturze piasty i szprych.

3. Wdróż Azure Firewall w sieci wirtualnej piasty, aby sprawdzić i zarządzać ruchem między sieciami wirtualnymi.

II. Ochrona przed zagrożeniami: natywne filtrowanie i ochrona w chmurze pod kątem znanych zagrożeń

Aplikacje w chmurze, które otworzyły punkty końcowe w środowiskach zewnętrznych, takich jak Internet lub środowisko lokalne, są narażone na ataki pochodzące z tych środowisk. W związku z tym konieczne jest skanowanie ruchu pod kątem złośliwych ładunków lub logiki.

Te typy zagrożeń dzielą się na dwie szerokie kategorie:

• Znane ataki. Zagrożenia wykryte przez dostawcę oprogramowania lub większą społeczność. W takich przypadkach sygnatura ataku jest dostępna i należy upewnić się, że każde żądanie jest sprawdzane względem tych podpisów. Kluczem jest możliwość szybkiego aktualizowania aparatu wykrywania przy użyciu wszelkich nowo zidentyfikowanych ataków.

• Nieznane ataki. Są to zagrożenia, które nie są do końca zgodne z żadnym znanym podpisem. Te typy zagrożeń obejmują luki w zabezpieczeniach typu zero-day i nietypowe wzorce w ruchu żądań. Możliwość wykrywania takich ataków zależy od tego, jak dobrze obrona wie, co jest normalne i co nie jest. Obrona powinna stale uczyć się i aktualizować takie wzorce, jak firma (i skojarzony ruch) ewoluują.

Wykonaj następujące kroki, aby chronić przed znanymi zagrożeniami:

1. W przypadku punktów końcowych z ruchem HTTP/S należy chronić przy użyciu usługi Azure Web Application Firewall (WAF), wykonując następujące działania:

   1. Włączenie domyślnego zestawu reguł lub zestawu reguł ochrony OWASP 10 top 10 w celu ochrony przed znanymi atakami w warstwie internetowej

   2. Włączenie zestawu reguł ochrony botów w celu zapobiegania usuwaniu informacji przez złośliwe boty, przeprowadzaniu wypychania poświadczeń itp.

   3. Dodawanie reguł niestandardowych w celu ochrony przed zagrożeniami specyficznymi dla Twojej firmy.

   Możesz użyć jednej z dwóch opcji:

   • Azure Front Door

     1. Tworzenie zasad Web Application Firewall w usłudze Azure Front Door.

     2. Konfigurowanie ochrony bota dla Web Application Firewall.

     3. Reguły niestandardowe dla Web Application Firewall.

   • Usługa Azure Application Gateway

     1. Utwórz bramę aplikacji przy użyciu Web Application Firewall.

     2. Konfigurowanie ochrony bota dla Web Application Firewall.

     3. Tworzenie i używanie reguł niestandardowych Web Application Firewall w wersji 2.

2. Dla wszystkich punktów końcowych (HTTP lub nie), z przodu z Azure Firewall na potrzeby filtrowania opartego na analizie zagrożeń w warstwie 4:

   1. Wdrażanie i konfigurowanie Azure Firewall przy użyciu Azure Portal.

   2. Włącz filtrowanie oparte na analizie zagrożeń dla ruchu.

   Porada

   Dowiedz się więcej o implementowaniu kompleksowej strategii Zero Trust dla punktów końcowych.

III. Szyfrowanie: ruch wewnętrzny typu użytkownik-aplikacja jest szyfrowany

Trzeci początkowy cel, na który należy skupić się na dodawaniu szyfrowania w celu zapewnienia szyfrowania ruchu wewnętrznego typu użytkownik-aplikacja.

Wykonaj następujące kroki:

1. Wymuś komunikację tylko przy użyciu protokołu HTTPS dla aplikacji internetowych, przekierowując ruch HTTP do protokołu HTTPS przy użyciu usługi Azure Front Door.

2. Łączenie pracowników zdalnych/partnerów z platformą Microsoft Azure przy użyciu usługi Azure VPN Gateway.

   1. Włącz szyfrowanie dla dowolnego ruchu punkt-lokacja w usłudze Azure VPN Gateway.

3. Uzyskiwanie bezpiecznego dostępu do maszyn wirtualnych platformy Azure przy użyciu zaszyfrowanej komunikacji za pośrednictwem usługi Azure Bastion.

   1. Nawiązywanie połączenia przy użyciu protokołu SSH z maszyną wirtualną z systemem Linux.

   2. Nawiązywanie połączenia przy użyciu protokołu RDP z maszyną wirtualną z systemem Windows.

Porada

Dowiedz się więcej o implementowaniu kompleksowej strategii Zero Trust dla aplikacji.

Dodatkowe cele wdrożenia

IV. Segmentacja sieci: w pełni rozproszone mikro obwody ruchu przychodzącego/wychodzącego w chmurze oraz dokładniejsze mikrosegmentacje

Po osiągnięciu pierwszych trzech celów następnym krokiem jest dalsze segmentowanie sieci.

Partycjonowanie składników aplikacji do różnych podsieci

Wykonaj następujące kroki:

1. W sieci wirtualnej dodaj podsieci sieci wirtualnej , aby dyskretne składniki aplikacji mogły mieć własne obwody.

2. Zastosuj reguły sieciowej grupy zabezpieczeń , aby zezwolić na ruch tylko z podsieci, które mają podsieci aplikacji zidentyfikowane jako legalny odpowiednik komunikacji.

Segmentowanie i wymuszanie granic zewnętrznych

Wykonaj następujące kroki, w zależności od typu granicy:

Granica internetowa

1. Jeśli łączność z Internetem jest wymagana dla aplikacji, która musi być kierowana za pośrednictwem sieci wirtualnej koncentratora, zaktualizuj reguły sieciowej grupy zabezpieczeń w sieci wirtualnej koncentratora, aby zezwolić na łączność z Internetem.

2. Włącz usługę Azure DDoS Protection w warstwie Standardowa, aby chronić sieć wirtualną piasty przed atakami warstwy sieci woluminowej.

3. Jeśli aplikacja używa protokołów HTTP/S, włącz usługę Azure Web Application Firewall, aby chronić przed zagrożeniami warstwy 7.

Granica lokalna

1. Jeśli aplikacja potrzebuje łączności z lokalnym centrum danych, użyj usługi Azure ExpressRoute usługi Azure VPN , aby uzyskać łączność z siecią wirtualną koncentratora.

2. Skonfiguruj Azure Firewall w sieci wirtualnej piasty, aby sprawdzać i zarządzać ruchem.

Granica usług PaaS

• W przypadku korzystania z usług PaaS udostępnianych przez platformę Azure (np. Azure Storage, Azure Cosmos DB lub Azure Web App) użyj opcji łączności PrivateLink , aby upewnić się, że wszystkie wymiany danych są używane przez prywatną przestrzeń IP, a ruch nigdy nie opuszcza sieci firmy Microsoft.

Porada

Dowiedz się więcej o implementowaniu kompleksowej strategii Zero Trust danych.

V. Ochrona przed zagrożeniami: ochrona przed zagrożeniami oparta na uczeniu maszynowym i filtrowanie przy użyciu sygnałów opartych na kontekście

Aby zapewnić dalszą ochronę przed zagrożeniami, włącz usługę Azure DDoS Protection Standard , aby stale monitorować ruch aplikacji hostowanej na platformie Azure, używać platform opartych na uczeniu maszynowym do punktu odniesienia i wykrywania powodzi ruchu woluminowego oraz stosować automatyczne środki zaradcze.

Wykonaj następujące kroki:

1. Konfigurowanie i zarządzanie nimi Azure DDoS Protection w warstwie Standardowa.

2. Konfigurowanie alertów dla metryk ochrony przed atakami DDoS.

VI. Szyfrowanie: cały ruch jest szyfrowany

Na koniec zakończ ochronę sieci, upewniając się, że cały ruch jest szyfrowany.

Wykonaj następujące kroki:

1. Szyfrowanie ruchu zaplecza aplikacji między sieciami wirtualnymi.

2. Szyfruj ruch między środowiskiem lokalnym a chmurą:

   1. Konfigurowanie sieci VPN typu lokacja-lokacja za pośrednictwem komunikacji równorzędnej usługi ExpressRoute firmy Microsoft.

   2. Skonfiguruj tryb transportu protokołu IPsec dla prywatnej komunikacji równorzędnej usługi ExpressRoute.

VII. Zaprzestanie starszej technologii zabezpieczeń sieci

Zaprzestanie korzystania z systemów wykrywania włamań sieci opartych na podpisie/zapobiegania włamaniom do sieci (NIDS/NIPS) oraz zapobiegania wyciekom/utracie danych sieciowych (DLP).

Główni dostawcy usług w chmurze już filtrują źle sformułowane pakiety i typowe ataki warstwy sieciowej, więc nie ma potrzeby wykrywania rozwiązań NIDS/NIPS. Ponadto tradycyjne rozwiązania NIDS/NIPS są zwykle oparte na podejściach opartych na podpisach (które są uważane za nieaktualne) i są łatwo unikane przez osoby atakujące i zwykle generują wysoką liczbę wyników fałszywie dodatnich.

DLP oparte na sieci zmniejsza skuteczność w identyfikowaniu zarówno nieumyślnej, jak i celowej utraty danych. Przyczyną tego jest to, że większość nowoczesnych protokołów i atakujących używa szyfrowania na poziomie sieci do komunikacji przychodzącej i wychodzącej. Jedynym opłacalnym obejściem tego problemu jest "mostkowanie SSL", które zapewnia "autoryzowany man-in-the-middle", który kończy, a następnie ponownie publikuje zaszyfrowane połączenia sieciowe. Podejście mostkujące SSL wypadło na korzyść ze względu na poziom zaufania wymagany dla partnera uruchamiającego rozwiązanie i używane technologie.

W oparciu o to uzasadnienie oferujemy zalecenie all-up, które zaprzestanie korzystania z tych starszych technologii zabezpieczeń sieci. Jeśli jednak twoje środowisko organizacyjne ma wpływ na zapobieganie rzeczywistym atakom i wykrywanie ich, możesz rozważyć przenoszenie ich do środowiska chmury.

Produkty omówione w tym przewodniku

Microsoft Azure

Azure Networking

Sieci wirtualne i podsieci

Sieciowe grupy zabezpieczeń i grupy zabezpieczeń aplikacji

Azure Firewall

Azure DDoS Protection

Azure Web Application Firewall

Azure VPN Gateway

Azure ExpressRoute

Azure Network Watcher

Podsumowanie

Zabezpieczanie sieci ma kluczowe znaczenie dla udanej strategii Zero Trust. Aby uzyskać więcej informacji lub uzyskać pomoc dotyczącą implementacji, skontaktuj się z zespołem ds. sukcesu klienta lub zapoznaj się z innymi rozdziałami tego przewodnika, który obejmuje wszystkie filary Zero Trust.

Seria przewodników wdrażania Zero Trust