Aplicar princípios de Zero Trust a uma rede virtual de hub no Azure
Resumo: Para aplicar os princípios de Zero Trust a uma rede virtual de hub no Azure, você deve proteger o Firewall Premium do Azure, implantar o Azure DDoS Protection Standard, configurar o roteamento de gateway de rede para o firewall e configurar a proteção contra ameaças.
A melhor maneira de implantar uma rede virtual (VNet) de hub baseada no Azure para Zero Trust é usar os materiais da Zona de Pouso do Azure para implantar uma VNet de hub completa com recursos e, em seguida, adaptá-la às suas expectativas de configuração específicas.
Este artigo fornece etapas sobre como usar uma VNet de hub existente e garantir que você esteja pronto para uma metodologia Zero Trust. Ele pressupõe que você usou o módulo ALZ-Bicep hubNetworking para implantar rapidamente uma VNet de hub ou implantou alguma outra VNet de hub com recursos semelhantes. Usar um hub de conectividade separado conectado a raios isolados do local de trabalho é um padrão de âncora na rede segura do Azure e ajuda a dar suporte aos princípios de Confiança Zero.
Este artigo descreve como implantar uma VNet de hub para Zero Trust mapeando os princípios de Zero Trust das seguintes maneiras.
Princípio Zero Trust | Definição | Cumprido por |
---|---|---|
Verificar explicitamente | Sempre autentique e autorize com base em todos os pontos de dados disponíveis. | Use o Firewall do Azure com inspeção TLS (Transport Layer Security) para verificar riscos e ameaças com base em todos os dados disponíveis. |
Use o acesso menos privilegiado | Limite o acesso do usuário com Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptativas baseadas em risco e proteção de dados. | Cada VNet spoke não tem acesso a outras VNets spoke a menos que o tráfego seja roteado através do firewall. O firewall está definido para negar por padrão, permitindo apenas o tráfego permitido por regras especificadas. |
Assuma a violação | Minimize o raio de jateamento e o acesso ao segmento. Verifique a criptografia de ponta a ponta e use análises para obter visibilidade, impulsionar a deteção de ameaças e melhorar as defesas. | No caso de um comprometimento ou violação de um aplicativo/carga de trabalho, ele tem capacidade limitada de se espalhar devido ao Firewall do Azure executar inspeção de tráfego e apenas encaminhar o tráfego permitido. Apenas recursos na mesma carga de trabalho seriam expostos à violação no mesmo aplicativo. |
Este artigo faz parte de uma série de artigos que demonstram como aplicar os princípios do Zero Trust em um ambiente no Azure. Este artigo fornece informações para configurar uma VNet de hub para suportar uma carga de trabalho IaaS em uma Vnet falada. Para obter mais informações, consulte a Visão geral de Aplicar princípios de Zero Confiança à IaaS do Azure.
Arquitetura de referência
O diagrama a seguir mostra a arquitetura de referência. A VNet do hub está realçada em vermelho. Para obter mais informações sobre essa arquitetura, consulte a Visão geral de Aplicar princípios de Zero Confiança à IaaS do Azure.
Para essa arquitetura de referência, há muitas maneiras de implantar os recursos na assinatura do Azure. A arquitetura de referência mostra a recomendação de isolar todos os recursos para a VNet do hub dentro de um grupo de recursos dedicado. Os recursos para a VNet falada também são mostrados para comparação. Este modelo funciona bem se diferentes equipas forem responsabilizadas por estas diferentes áreas.
No diagrama, uma VNet de hub inclui componentes para dar suporte ao acesso a outros aplicativos e serviços no ambiente do Azure. Esses recursos incluem:
- Azure Firewall Premium
- Azure Bastion
- Gateway de VPN
- Proteção DDOS, que também deve ser implantada em redes virtuais faladas.
A VNet de hub fornece acesso desses componentes a um aplicativo baseado em IaaS hospedado em máquinas virtuais em uma VNet falada.
Para obter orientação sobre como organizar para adoção da nuvem, consulte Gerenciar o alinhamento da organização no Cloud Adoption Framework.
Os recursos implantados para a VNet do hub são:
- Uma VNet do Azure
- Política de Firewall do Azure com Firewall do Azure e um endereço IP público
- Bastion
- Gateway VPN com um endereço IP público e tabela de rotas
O diagrama a seguir mostra os componentes de um grupo de recursos para uma VNet de hub em uma assinatura do Azure separada da assinatura para a VNet falada. Esta é uma maneira de organizar esses elementos dentro da assinatura. Sua organização pode optar por organizá-los de uma maneira diferente.
No diagrama:
- Os recursos para a VNet do hub estão contidos em um grupo de recursos dedicado. Se você estiver implantando o Plano DDoS do Azure em uma parte dos recursos, precisará incluí-lo no grupo de recursos.
- Os recursos dentro de uma VNet falada estão contidos em um grupo de recursos dedicado separado.
Dependendo da sua implantação, você também pode observar que pode haver uma implantação de uma matriz para Zonas DNS Privadas usadas para resolução DNS de Link Privado. Eles são usados para proteger recursos de PaaS com pontos de extremidade privados, que são detalhados em uma seção futura. Observe que ele implanta um Gateway VPN e um Gateway de Rota Expressa. Você pode não precisar de ambos, para que possa remover o que não for necessário para o seu cenário ou desativá-lo durante a implantação.
O que contém este artigo?
Este artigo fornece recomendações para proteger os componentes de uma VNet de hub para os princípios de Zero Trust. A tabela a seguir descreve as recomendações para proteger essa arquitetura.
Passo | Tarefa | Princípio(s) de confiança zero aplicado(s) |
---|---|---|
1 | Proteja o Azure Firewall Premium. | Verificar explicitamente Use o acesso menos privilegiado Assuma a violação |
2 | Implante o Azure DDoS Protection Standard. | Verificar explicitamente Use o acesso menos privilegiado Assuma a violação |
3 | Configure o roteamento do gateway de rede para o firewall. | Verificar explicitamente Use o acesso menos privilegiado Assuma a violação |
4 | Configure a proteção contra ameaças. | Assuma a violação |
Como parte de sua implantação, convém fazer seleções específicas que não sejam os padrões para implantações automatizadas devido aos seus custos adicionais. Antes da implantação, você deve revisar os custos.
Operar o hub de conectividade conforme implantado ainda fornece um valor significativo para isolamento e inspeção. Se sua organização não estiver pronta para incorrer nos custos desses recursos avançados, você poderá implantar um hub de funcionalidade reduzida e fazer esses ajustes mais tarde.
Etapa 1: Proteger o Firewall do Azure Premium
O Firewall Premium do Azure desempenha um papel vital em ajudá-lo a proteger sua infraestrutura do Azure para Zero Trust.
Como parte da implantação, use o Firewall Premium do Azure. Isso requer que você implante a política de gerenciamento gerada como uma política premium. Mudar para o Firewall Premium do Azure envolve a recriação do firewall e, muitas vezes, da política também. Como resultado, comece com o Firewall do Azure, se possível, ou esteja preparado para atividades de reimplantação para substituir o firewall existente.
Porquê o Azure Firewall Premium?
O Firewall Premium do Azure fornece recursos avançados para inspecionar o tráfego. As mais significativas são as seguintes opções de inspeção TLS:
- A Inspeção TLS de saída protege contra o tráfego mal-intencionado que é enviado de um cliente interno para a Internet. Isso ajuda a identificar quando um cliente foi violado e se ele está tentando enviar dados para fora da sua rede ou estabelecer uma conexão com um computador remoto.
- A Inspeção TLS Leste-Oeste protege contra o tráfego mal-intencionado enviado de dentro do Azure para outras partes do Azure ou para suas redes que não são do Azure. Isso ajuda a identificar tentativas de uma violação para expandir e espalhar seu raio de explosão.
- A Inspeção TLS de entrada protege os recursos no Azure contra solicitações maliciosas que chegam de fora da rede do Azure. O Gateway de Aplicativo do Azure com Firewall de Aplicativo Web fornece essa proteção.
Você deve usar a inspeção TLS de entrada para recursos sempre que possível. O Gateway de Aplicativo do Azure fornece apenas proteção para tráfego HTTP e HTTPS. Ele não pode ser usado para alguns cenários, como aqueles que usam tráfego SQL ou RDP. Outros serviços geralmente têm suas próprias opções de proteção contra ameaças que podem ser usadas para fornecer controles de verificação explícitos para esses serviços. Você pode revisar as linhas de base de segurança para obter a visão geral do Azure para entender as opções de proteção contra ameaças para esses serviços.
O Gateway de Aplicativo do Azure não é recomendado para a VNet de hub. Em vez disso, deve residir em uma VNet falada ou uma VNet dedicada. Para obter mais informações, consulte Aplicar princípios de confiança zero à rede virtual spoke no Azure para obter orientação sobre a VNet spoke ou a rede Zero-trust para aplicativos Web.
Esses cenários têm considerações específicas de certificado digital. Para obter mais informações, consulte Certificados Premium do Firewall do Azure.
Sem inspeção TLS, o Firewall do Azure não tem visibilidade nos dados que fluem no túnel TLS criptografado e, portanto, é menos seguro.
Por exemplo, a Área de Trabalho Virtual do Azure não oferece suporte à terminação SSL. Você deve revisar suas cargas de trabalho específicas para entender como fornecer inspeção TLS.
Além das regras de permissão/negação definidas pelo cliente, o Firewall do Azure ainda pode aplicar filtragem baseada em inteligência de ameaças. A filtragem baseada em informações sobre ameaças usa endereços IP e domínios conhecidos e incorretos para identificar o tráfego que representa um risco. Essa filtragem ocorre antes de quaisquer outras regras, o que significa que, mesmo que o acesso tenha sido permitido pelas regras definidas, o Firewall do Azure pode interromper o tráfego.
O Firewall Premium do Azure também tem opções aprimoradas para filtragem de URL e filtragem de categorias da Web, permitindo um ajuste mais fino para funções.
Você pode definir informações sobre ameaças para notificá-lo com um alerta quando esse tráfego ocorrer, mas para permitir a sua passagem. No entanto, para Zero Trust, defina-o como Negar.
Configurar o Azure Firewall Premium para Zero Trust
Para configurar o Firewall Premium do Azure para uma configuração de Zero Trust, faça as seguintes alterações.
Habilite o Threat Intelligence no modo de alerta e negação:
- Navegue até a Política de firewall e selecione Inteligência de ameaças.
- No modo de inteligência de ameaças, selecione Alertar e negar.
- Selecione Guardar.
Habilite a inspeção TLS:
- Prepare um certificado para armazenar em um Cofre de Chaves ou planeje gerar automaticamente um certificado com uma identidade gerenciada. Você pode revisar essas opções para certificados Premium do Firewall do Azure para selecionar a opção para seu cenário.
- Navegue até a Política de firewall e selecione Inspeção TLS.
- Selecione Ativado.
- Selecione uma Identidade Gerenciada para gerar certificados ou selecione o cofre de chaves e o certificado.
- Em seguida, selecione Guardar.
Ative o Sistema de Deteção e Prevenção de Intrusões (IDPS):
- Navegue até a Política de firewall e selecione IDPS.
- Selecione Alertar e negar.
- Em seguida, selecione Aplicar.
Em seguida, você precisará criar uma regra de aplicativo para o tráfego.
- Na Política de firewall, navegue até Regras de aplicativo.
- Selecione Adicionar uma coleção de regras.
- Crie uma regra de aplicativo com a origem da sub-rede do Application Gateway e um destino do nome de domínio do aplicativo Web que está sendo protegido.
- Certifique-se de habilitar a inspeção TLS.
Configuração adicional
Com o Firewall Premium do Azure configurado, agora você pode executar a seguinte configuração:
- Configure os Gateways de Aplicativo para rotear o tráfego para o Firewall do Azure atribuindo as tabelas de rotas apropriadas e seguindo estas diretrizes.
- Crie alertas para eventos e métricas de firewall seguindo estas instruções.
- Implante a Pasta de Trabalho do Firewall do Azure para visualizar eventos.
- Configure a filtragem de URL e categoria da Web, se necessário. Como o Firewall do Azure nega por padrão, essa configuração é necessária somente se o Firewall do Azure precisar conceder acesso de saída à Internet de forma ampla. Você pode usar isso como uma verificação adicional para determinar se as conexões devem ser permitidas.
Etapa 2: Implantar o Azure DDoS Protection Standard
Como parte da implantação, você desejará implantar uma Política Padrão de Proteção contra DDoS do Azure. Isso aumenta a proteção Zero Trust fornecida na Plataforma Azure.
Como você pode implantar a política criada em recursos existentes, pode adicionar essa proteção após a implantação inicial sem exigir a reimplantação de recursos.
Por que o Azure DDoS Protection Standard?
O Azure DDoS Protection Standard aumentou os benefícios em relação à Proteção contra DDoS padrão. Para o Zero Trust, você pode ter:
- Acesso a relatórios de mitigação, logs de fluxo e métricas.
- Políticas de mitigação baseadas em aplicativos.
- Acesso ao suporte de resposta rápida DDoS se ocorrer um ataque DDoS.
Embora a deteção automática e a mitigação automática façam parte da Proteção Básica contra DDoS habilitada por padrão, esses recursos só estão disponíveis com o DDoS Standard.
Configurar o Azure DDoS Protection Standard
Como não há configurações específicas do Zero Trust para o DDoS Protection Standard, você pode seguir os guias específicos de recursos para esta solução:
- Criar um plano de proteção contra DDoS
- Configurar alertas
- Configurar log de diagnóstico
- Configurar Telemetria
Na versão atual da Proteção contra DDoS do Azure, você deve aplicar a Proteção contra DDoS do Azure por VNet. Consulte instruções adicionais em Guia de início rápido DDoS.
Além disso, proteja os seguintes endereços IP públicos:
- Endereços IP públicos do Firewall do Azure
- Endereços IP públicos do Azure Bastion
- Endereços IP públicos do Gateway de Rede do Azure
- Endereços IP públicos do Application Gateway
Etapa 3: Configurar o roteamento do gateway de rede para o firewall
Após a implantação, você precisará configurar tabelas de rotas em várias sub-redes para garantir que o tráfego entre VNets spoke e as redes locais seja inspecionado pelo Firewall do Azure. Você pode executar essa atividade em um ambiente existente sem um requisito de reimplantação, mas precisa criar as regras de firewall necessárias para permitir o acesso.
Se você configurar apenas um lado, apenas as sub-redes spoke ou as sub-redes do gateway, terá um roteamento assíncrono que impede que as conexões funcionem.
Por que rotear o tráfego do gateway de rede para o firewall?
Um elemento-chave do Zero Trust é não assumir que apenas porque algo está em seu ambiente, que ele deve ter acesso a outros recursos em seu ambiente. Uma configuração padrão geralmente permite o roteamento entre recursos no Azure para suas redes locais, controladas apenas por grupos de segurança de rede.
Ao rotear o tráfego para o firewall, você aumenta o nível de inspeção e aumenta a segurança do seu ambiente. Também é alertado para atividades suspeitas e pode tomar medidas.
Configurar o roteamento de gateway
Há duas maneiras principais de garantir que o tráfego do gateway esteja sendo roteado para o firewall do Azure:
- Implante o Gateway de Rede do Azure (para conexões VPN ou ExpressRoute) em uma VNet dedicada (geralmente chamada de VNet de Trânsito ou de Gateway), emparelhe-o com a VNet de hub e crie uma regra de roteamento ampla que cubra seus espaços de endereço de rede do Azure planejados roteando para o firewall.
- Implante o Gateway de Rede do Azure na VNet do hub, configure o roteamento na sub-rede do gateway e configure o roteamento nas sub-redes da VNet falada.
Este guia detalha a segunda opção porque é mais compatível com a arquitetura de referência.
Nota
O Azure Virtual Network Manager é um serviço que simplifica esse processo. Quando esse serviço estiver disponível em geral, use-o para gerenciar o roteamento.
Configurar o roteamento de sub-rede do gateway
Para configurar a tabela de rotas da Sub-rede do Gateway para encaminhar o tráfego interno para o Firewall do Azure, crie e configure uma nova Tabela de Rotas:
Navegue até Criar uma tabela de rotas no portal do Microsoft Azure.
Coloque a Tabela de Rotas em um grupo de recursos, selecione uma região e especifique um nome.
Selecione Rever + Criar e, em seguida, clique em Criar.
Navegue até a nova tabela de rotas e selecione Rotas.
Selecione Adicionar e, em seguida, adicione uma rota a uma das VNets faladas:
- Em Nome da rota, especifique o nome do campo de rota.
- Selecione Endereços IP na lista suspensa Destino do prefixo do endereço.
- Forneça o espaço de endereço da VNet spoke no campo Endereços IP de destino/intervalos CIDR.
- Selecione Dispositivo virtual na caixa suspensa Tipo de salto seguinte.
- Forneça o endereço IP privado do Firewall do Azure no campo Endereço do próximo salto.
- Selecione Adicionar.
Associar a tabela de rotas à sub-rede do gateway
- Navegue até Sub-redes e selecione Associar.
- Selecione a Rede virtual de hub na lista suspensa Rede virtual.
- Selecione GatewaySubnet na lista suspensa Sub-rede .
- Selecione OK.
Eis um exemplo.
O gateway agora encaminha o tráfego destinado a VNets spoke para o Firewall do Azure.
Configurar o roteamento de sub-rede spoke
Esse processo pressupõe que você já tenha uma tabela de rotas anexada às suas sub-redes VNet faladas, com uma rota padrão para encaminhar o tráfego para o Firewall do Azure. Na maioria das vezes, isso é feito por uma regra que encaminha o tráfego para o intervalo CIDR 0.0.0.0/0, geralmente chamado de rota quad-zero.
Eis um exemplo.
Esse processo desabilita a propagação de rotas do gateway, o que permite que a rota padrão leve o tráfego destinado às redes locais.
Nota
Recursos, como Gateways de Aplicativos, que exigem acesso à Internet para funcionar não devem receber essa tabela de rotas. Eles devem ter sua própria tabela de rotas para permitir suas funções necessárias, como o descrito no artigo Rede de confiança zero para aplicativos Web com o Firewall do Azure e o Gateway de Aplicativos.
Para configurar o roteamento de sub-rede falado:
- Navegue até a Tabela de rotas associada à sua sub-rede e selecione Configuração.
- Em Propagar rotas de gateway, selecione Não.
- Selecione Guardar.
Sua rota padrão agora encaminha o tráfego destinado ao gateway para o Firewall do Azure.
Etapa 4: Configurar a proteção contra ameaças
O Microsoft Defender for Cloud pode proteger sua rede virtual de hub criada no Azure, assim como outros recursos do seu ambiente de negócios de TI em execução no Azure ou localmente.
O Microsoft Defender for Cloud é um Cloud Security Posture Management (CSPM) e Cloud Workload Protection (CWP) que oferece um sistema de pontuação seguro para ajudar sua empresa a criar um ambiente de TI com uma melhor postura de segurança. Ele também inclui recursos para proteger seu ambiente de rede contra ameaças.
Este artigo não abordará o Microsoft Defender for Cloud em detalhes. No entanto, é importante entender que o Microsoft Defender for Cloud funciona com base nas Políticas do Azure e nos logs que ele ingere em um espaço de trabalho do Log Analytics.
Você escreve Políticas do Azure em JSON (JavaScript Object Notation) para manter diferentes análises das propriedades de recursos do Azure, incluindo serviços e recursos de rede. Dito isso, é fácil para o Microsoft Defender for Cloud verificar uma propriedade sob um recurso de rede e fornecer uma recomendação para sua assinatura se você estiver protegido ou exposto a uma ameaça.
Como verificar todas as recomendações de rede disponíveis através do Microsoft Defender for Cloud
Para exibir todas as políticas do Azure que fornecem recomendações de rede usadas pelo Microsoft Defender for Cloud:
Abra o Microsoft Defender for Cloud, selecionando o ícone do Microsoft Defender for Cloud no menu à esquerda.
Selecione Configurações do ambiente.
Selecione Política de segurança.
Se você selecionar o ASC Padrão, poderá revisar todas as políticas disponíveis, incluindo as políticas que avaliam os recursos da rede.
Além disso, existem recursos de rede avaliados por outras conformidades regulamentares, incluindo PCI, ISO e o benchmark de segurança na nuvem da Microsoft. Você pode habilitar qualquer um deles e rastrear recomendações de rede.
Recomendações de rede
Siga estas etapas para exibir algumas das recomendações de rede, com base no benchmark de segurança na nuvem da Microsoft:
Abra o Microsoft Defender for Cloud.
Selecione Conformidade regulamentar.
Selecione Benchmark de segurança na nuvem da Microsoft.
Expanda NS. Segurança de rede para rever o controlo de rede recomendado.
É importante entender que o Microsoft Defender for Cloud fornece outras recomendações de rede para diferentes recursos do Azure, como máquinas virtuais e armazenamento. Pode rever essas recomendações no menu à esquerda, em Recomendações.
No menu esquerdo do portal do Microsoft Defender for Cloud , selecione Alertas de Segurança para revisar alertas com base em recursos de rede para que você possa evitar alguns tipos de ameaças. Esses alertas são gerados automaticamente pelo Microsoft Defender for Cloud com base em logs ingeridos no espaço de trabalho do Log Analytics e monitorados pelo Microsoft Defender for Cloud.
Mapeando e protegendo seu ambiente de rede do Azure por meio do Microsoft Defender for Cloud
Você também pode verificar as opções para obter uma melhor postura de segurança protegendo seu ambiente de rede de forma fácil, mapeando seu ambiente de rede para uma melhor compreensão de sua topologia de rede. Essas recomendações são feitas através da opção Proteção da carga de trabalho no menu à esquerda, como mostra aqui.
Gerir políticas de Firewall do Azure através do Microsoft Defender for Cloud
O Firewall do Azure é recomendado para uma rede virtual de hub, conforme descrito neste artigo. O Microsoft Defender for Cloud pode gerenciar várias políticas do Firewall do Azure centralmente. Além das políticas do Firewall do Azure, você poderá gerenciar outros recursos relacionados ao Firewall do Azure, conforme mostrado aqui.
Para obter mais informações sobre como o Microsoft Defender for Cloud protege seu ambiente de rede contra ameaças, consulte O que é o Microsoft Defender for Cloud?
Ilustrações técnicas
Estas ilustrações são réplicas das ilustrações de referência nestes artigos. Transfira e personalize estes dados para a sua própria organização e clientes. Substitua o logotipo da Contoso pelo seu.
Item | Description |
---|---|
Baixar Visio Atualizado em outubro de 2024 |
Aplicar princípios de Zero Trust à IaaS do Azure Use estas ilustrações com estes artigos: - Descrição geral - Armazenamento do Azure - Máquinas virtuais - Redes virtuais faladas do Azure - Redes virtuais do hub do Azure |
Baixar Visio Atualizado em outubro de 2024 |
Aplicar princípios de Zero Trust à IaaS do Azure — Cartaz de uma página Uma visão geral de uma página do processo de aplicação dos princípios do Zero Trust a ambientes IaaS do Azure. |
Para obter ilustrações técnicas adicionais, consulte Ilustrações Zero Trust para arquitetos e implementadores de TI.
Treinamento recomendado
- Configurar a Política do Azure
- Projetar e implementar segurança de rede
- Configurar o Firewall do Azure
- Configurar o gateway VPN
- Introdução à Proteção contra DDoS do Azure
- Resolva ameaças de segurança com o Microsoft Defender for Cloud
Para obter mais treinamento sobre segurança no Azure, consulte estes recursos no catálogo da Microsoft:
Segurança no Azure | Microsoft Learn
Passos Seguintes
Consulte estes artigos adicionais para aplicar os princípios de Zero Trust ao Azure:
- Visão geral do Azure IaaS
- Azure Virtual Desktop
- WAN Virtual do Azure
- Aplicativos IaaS na Amazon Web Services
- Microsoft Sentinel e Microsoft Defender XDR
Referências
Consulte estes links para saber mais sobre os vários serviços e tecnologias mencionados neste artigo.