Planejar a segmentação de rede da zona de destino
Esta seção explora as principais recomendações para fornecer uma segmentação de rede interna altamente segura em uma zona de destino para gerar uma implementação de rede com Confiança Zero.
Considerações de design:
O modelo de Confiança Zero pressupõe um estado de violação e verifica cada solicitação como se ela tivesse sido originada de uma rede não controlada.
Uma implementação de rede avançada de Confiança Zero emprega microperímetros de nuvem de entrada/saída totalmente distribuídos e uma microssegmentação mais profunda.
Os NSGs (grupos de segurança de rede) podem usar as marcas de serviço do Azure para facilitar a conectividade com os serviços de PaaS do Azure.
Os ASG (grupos de segurança de aplicativo) não abrangem ou fornecem proteção entre redes virtuais.
Os logs de fluxo dos NSG agora têm suporte por meio de modelos do Azure Resource Manager.
Recomendações de design:
Delegar a criação de sub-rede ao proprietário da zona de destino. Isso permitirá que eles definam como segmentar cargas de trabalho entre sub-redes (por exemplo, uma única sub-rede grande, um aplicativo multicamada ou um aplicativo injetado na rede). A equipe de plataforma pode usar o Azure Policy para verificar se um NSG com regras específicas (como negar SSH ou RDP de entrada da Internet ou permitir/bloquear o tráfego entre zonas de destino) está sempre associado a sub-redes que tenham políticas somente de negação.
Use os NSGs para ajudar a proteger o tráfego entre sub-redes, bem como o tráfego leste/oeste na plataforma (tráfego entre as zonas de destino).
A equipe de aplicativos deve usar grupos de segurança de aplicativos nos NSGs no nível da sub-rede para ajudar a proteger VMs multicamadas na zona de destino.
Use NSGs e grupos de segurança de aplicativo no tráfego de microssegmento dentro da zona de destino e evite usar uma NVA central para filtrar fluxos de tráfego.
Habilite os logs de fluxo do NSG e alimente a Análise de Tráfego com eles para obter insights sobre fluxos de tráfego internos e externos do aplicativo. Os logs de fluxo devem ser habilitados em todas as VNets/sub-redes críticas na assinatura como uma prática recomendada de auditoria e de segurança.
Use NSGs para permitir seletivamente a conectividade entre as zonas de destino.
Para topologias de WAN Virtual, encaminhe o tráfego entre as zonas de destino por meio do Firewall do Azure se sua organização exige recursos de filtragem e registro em log para o tráfego que flui entre as zonas de destino.
Se sua organização decidir implementar o túnel forçado (anunciar rota padrão) para o local, recomendamos incorporar as regras de NSG de saída a seguir para negar o tráfego de saída de VNets diretamente para a Internet caso a sessão BGP seja suspensa.
Observação
As prioridades de regra precisarão ser ajustadas com base no conjunto de regras do NSG existente.
| Prioridade | Nome | Fonte | Destino | Serviço | Ação | Comentário |
|---|---|---|---|---|---|---|
| 100 | AllowLocal |
Any |
VirtualNetwork |
Any |
Allow |
Permite tráfego durante operações normais. Com o túnel forçado habilitado, 0.0.0.0/0 é considerado parte da marca VirtualNetwork, contanto que o BGP esteja anunciando-o para o gateway do ExpressRoute ou de VPN. |
| 110 | DenyInternet |
Any |
Internet |
Any |
Deny |
Nega tráfego diretamente para a Internet se a rota 0.0.0.0/0 é retirada das rotas anunciadas (por exemplo, devido a uma interrupção ou configuração incorreta). |
Cuidado
Os serviços de PaaS do Azure que podem ser injetados em uma rede virtual talvez não sejam compatíveis com o túnel forçado. As operações do plano de controle ainda podem exigir conectividade direta com endereços IP públicos específicos para que o serviço funcione corretamente. É recomendável verificar a documentação de serviço específica para os requisitos de rede e, eventualmente, isentar a sub-rede de serviço da propagação de rota padrão. As Marcas de Serviço na UDR podem ser usadas para ignorar a rota padrão e somente redirecionar o tráfego do plano de controle, se a marca de serviço específica estiver disponível.