Poprzednie

Następne

Zabezpieczanie sieci piasty i szprych

Ukończone

Platforma Azure oferuje wiele usług, które ułatwiają organizacji zabezpieczanie i ochronę infrastruktury chmury. Twoja organizacja musi wiedzieć, jak zabezpieczyć swoją nową sieć i jakie inne usługi platformy Azure są dostępne.

W tej lekcji zapoznasz się z bezpieczną siecią na platformie Azure i zapoznasz się z omówieniem usługi Azure Firewall. Dowiesz się również, jak zabezpieczyć sieci wirtualne przy użyciu sieciowych grup zabezpieczeń.

Projekt sieci zabezpieczonej na platformie Azure

Na powyższym diagramie przedstawiono infrastrukturę sieci platformy Azure oraz metody, które umożliwiają bezpieczne łączenie się ze środowiskiem lokalnym, zasobami hostowanymi na platformie Azure i publicznym Internetem.

Istnieje kilka funkcji, które warto wziąć pod uwagę jako element projektu zabezpieczania sieci:

• Azure Virtual Network: zapewnia podstawową warstwę zabezpieczeń, logicznie izolując środowiska na platformie Azure, aby zapobiec nieautoryzowanemu lub niepożądanemu dostępowi.
• Azure DNS: usługa hostingu dla nazw domen. Azure DNS to bezpieczna usługa do zarządzania nazwami domen w sieci wirtualnej i ich rozpoznawania.
• aplikacja systemu Azure Gateway: dedykowane urządzenie wirtualne, które udostępnia kontroler dostarczania aplikacji jako usługę, w tym zaporę aplikacji internetowej (WAF).
• Azure Traffic Manager: usługa służąca do kontrolowania dystrybucji ruchu użytkowników na platformie Azure.
• Azure Load Balancer: zapewnia wysoką dostępność i wydajność sieci dla aplikacji platformy Azure.
• Sieć obwodowa: segmentuje zasoby między siecią wirtualną platformy Azure a Internetem.

Ponadto rozważ włączenie niektórych z następujących elementów do architektury sieci w celu zwiększenia bezpieczeństwa sieci:

• Kontrola dostępu do sieci. Te kontrolki zapewniają, że usługi platformy Azure są dostępne tylko dla użytkowników i urządzeń, których potrzebujesz.
• Sieciowe grupy zabezpieczeń jako zapora filtrująca pakiety w celu sterowania ruchem w sieci wirtualnej.
• Kontrola tras i wymuszone tunelowanie w celu zdefiniowania tras niestandardowych w ramach infrastruktury i upewnienia się, że usługi nie mogą łączyć się z urządzeniem internetowym.
• Włączanie urządzenia zabezpieczeń sieci wirtualnej za pomocą witryny Azure Marketplace.
• Użyj usługi Azure ExpressRoute dla dedykowanego linku sieci WAN, aby bezpiecznie rozszerzyć sieci lokalne na platformę Azure.
• Microsoft Defender dla Chmury, aby zapobiegać zagrożeniom, wykrywać je i reagować na nie.
• Azure Firewall jako usługa zabezpieczeń sieci.

Istnieje wiele różnych rozwiązań zabezpieczeń dla organizacji, z których wiele uzupełnia siebie, aby zapewnić więcej warstw zabezpieczeń. Twoja organizacja powinna być zgodna z zalecanymi najlepszymi rozwiązaniami firmy Microsoft. Następnie należy zaimplementować wszystkie funkcje, które są potrzebne, aby spełnić wewnętrzne wymagania dotyczące zabezpieczeń w organizacji.

Podstawowe składniki zabezpieczeń platformy Azure dla topologii piasty i szprych

Chcesz zapewnić ochronę zasobów przed nieautoryzowanym dostępem lub atakiem dzięki kontroli nad ruchem sieciowym. W modelu piasty i szprych należy zaimplementować kilka składników:

Sieciowa grupa zabezpieczeń

W każdej podsieci w topologii jest skonfigurowana sieciowa grupa zabezpieczeń. Sieciowe grupy zabezpieczeń implementują reguły zabezpieczeń, które zezwalają lub nie zezwalają na ruch sieciowy do i z każdego zasobu w topologii.

Sieć obwodowa

Skonfiguruj sieć obwodową we własnej podsieci w sieci wirtualnej piasty w celu kierowania ruchu zewnętrznego. Sieć obwodowa jest zaprojektowana do hostowania wirtualnych urządzeń sieciowych, które zapewniają funkcje zabezpieczeń, takie jak zapory i inspekcja pakietów. Ruch wychodzący można kierować z sieci obwodowej za pośrednictwem urządzeń wirtualnych. Ruch jest następnie monitorowany, zabezpieczony i poddany inspekcji.

Wirtualne urządzenie sieciowe

Wirtualne urządzenia sieciowe (WUS) zapewniają bezpieczną granicę sieci, sprawdzając cały ruch przychodzący i wychodzący w sieci. Następnie urządzenie WUS przekazuje tylko ruch spełniający reguły zabezpieczeń sieci, zasadniczo działając jak zapora.

Usługa Azure Firewall może zastąpić niektóre składniki omówione w tym artykule, aby kontrolować dostęp do zasobów sieciowych platformy Azure. Aby uzyskać więcej informacji, zobacz sekcję Azure Firewall .

Azure ExpressRoute

Usługa ExpressRoute tworzy dedykowane, prywatne łącze sieci WAN między zasobami lokalnymi i podsiecią bramy platformy Azure w sieci wirtualnej piasty. Dodaj sieciowe urządzenie zabezpieczające między siecią lokalną a routerami granicznymi dostawcy usługi ExpressRoute. To urządzenie ogranicza przepływ nieautoryzowanego ruchu z sieci wirtualnej.

Azure Firewall

Firma Microsoft zarządza tą usługą zabezpieczeń sieci. Chroni ona sieci wirtualne platformy Azure i ich zasoby, umożliwiając centralne zarządzanie i wymuszanie zasad łączności. Usługa Azure Firewall korzysta ze statycznego publicznego adresu IP dla zasobów sieci wirtualnej, co umożliwia zewnętrznym zaporom identyfikowanie ruchu z sieci wirtualnej.

Usługa Azure Firewall to w pełni stanowa zapora sieciowa, która śledzi stan operacyjny i charakterystykę przechodzących przez nią połączeń sieciowych. Usługa Azure Firewall umożliwia centralne sterowanie całą komunikacją sieciową za pośrednictwem wymuszania zasad. Te zasady można wymuszać w sieciach wirtualnych, regionach i subskrypcjach platformy Azure. W topologii piasty i szprych usługa Azure Firewall jest zwykle aprowizowana w centrum w celu pełnej kontroli nad ruchem przez sieć.

Monitorowanie usługi Azure Firewall polega na przeglądaniu dzienników zapory i dzienników aktywności. Dzięki temu, że usługa Azure Firewall jest zintegrowana z dziennikami usługi Azure Monitor, można w niej wyświetlać pełne dzienniki. Niektóre dzienniki można również wyświetlać w witrynie Azure Portal.

Dzienniki mogą być przechowywane na koncie usługi Azure Storage, przesyłane strumieniowo do usługi Azure Event Hubs lub wysyłane do dzienników usługi Azure Monitor.

Zabezpieczenia sieci za pomocą sieciowych grup zabezpieczeń

Sieciowe grupy zabezpieczeń wymuszają i kontrolują reguły ruchu sieciowego. Dostępem steruje się przez zezwalanie lub niezezwalanie na komunikację między obciążeniami w sieci wirtualnej. Sieciowe grupy zabezpieczeń są oparte na regułach i oceniają ruch przy użyciu metody krotki z pięcioma krotkami. Aby określić, czy ruch jest dozwolony, czy blokowany, sieciowe grupy zabezpieczeń oceniają ruch przy użyciu:

• Źródłowy adres IP
• Port źródłowy
• Docelowy adres IP
• Port docelowy
• Protokół

Definiowanie reguł zabezpieczeń

Reguły zabezpieczeń w sieciowej grupie zabezpieczeń zapewniają mechanizm określający sposób sterowania przepływem ruchu. Sieciowa grupa zabezpieczeń domyślnie ma zestaw reguł. Tych reguł nie można usunąć, ale można je zastąpić własnymi regułami niestandardowymi. Reguły domyślne to:

• Ruch pochodzący z sieci wirtualnej i kończący się w niej jest dozwolony.
• Ruch wychodzący do Internetu jest dozwolony, ale ruch przychodzący jest blokowany.
• Usługa Azure Load Balancer może sondować kondycję maszyn wirtualnych lub wystąpień ról.

Inne zagadnienia dotyczące zabezpieczeń

Możliwość sterowania sposobem kierowania ruchu przechodzącego przez zasoby jest ważnym środkiem bezpieczeństwa, który należy stosować. Platforma Azure ułatwia poprawę bezpieczeństwa infrastruktury ogólnej, oferując inne usługi:

• Grupy zabezpieczeń aplikacji: zapewnia centralne zarządzanie zasadami i zabezpieczeniami dla aplikacji. Aby zdefiniować szczegółowe zasady zabezpieczeń sieci przy użyciu krótkiej nazwy, użyj grup zabezpieczeń aplikacji. Następnie możesz zastosować metodę zerowego zaufania, w której dozwolone są tylko określone przepływy.
• Azure Network Watcher: umożliwia wgląd w rejestrowanie i diagnostykę sieci. Usługa Network Watcher pozwala zrozumieć kondycję i wydajność sieci platformy Azure.
• Punkty końcowe usługi sieci wirtualnej: rozszerza prywatną przestrzeń adresową sieci wirtualnej, aby udostępnić ją usługom platformy Azure. Punkty końcowe umożliwiają ograniczanie dostępu do zasobów platformy Azure.
• Usługa Azure DDoS Protection: umożliwia eliminowanie ataków typu volumetric, protocol i resource layer.

Sprawdź swoją wiedzę

1.

W jaki sposób sieciowe grupy zabezpieczeń ułatwiają kontrolę przepływu ruchu w sieciach wirtualnych?

Mają one ściśle określone reguły blokowania ruchu przychodzącego z Internetu, których nie można modyfikować.

Działają one jak zapora stanowa, monitorując ruch sieciowy i wymuszając zdefiniowane zasady.

Umożliwiają one tworzenie reguł ruchu, które mogą zezwalać lub nie zezwalać na ruch za pośrednictwem określonych portów i protokołów.

2.

W jaki sposób korzystanie z usługi Azure ExpressRoute zwiększa bezpieczeństwo?

Zapewnia ona dedykowane połączenie prywatne między zasobami lokalnymi i platformą Azure. Dodatkowe bezpieczeństwo zapewnia dodawanie sieciowych urządzeń zabezpieczających między routerami brzegowymi.

Zapewnia ona podstawową warstwę zabezpieczeń, umożliwiając segmentację i izolację zasobów platformy Azure.

Kieruje ona ruch z sieci na platformę Azure przez Internet.

Przed sprawdzeniem pracy musisz odpowiedzieć na wszystkie pytania.

Kontynuuj