Aplique os princípios do Zero Trust para obter visibilidade do tráfego de rede
Este artigo fornece orientação para aplicar os princípios do Zero Trust para segmentar redes em ambientes do Azure. Aqui estão os princípios do Zero Trust.
| Princípio Zero Trust | Definição |
|---|---|
| Verificar explicitamente | Sempre autentique e autorize com base em todos os pontos de dados disponíveis. |
| Use o acesso menos privilegiado | Limite o acesso do usuário com Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptativas baseadas em risco e proteção de dados. |
| Assuma a violação | Minimize o raio de jateamento e o acesso ao segmento. Verifique a criptografia de ponta a ponta e use análises para obter visibilidade, impulsionar a deteção de ameaças e melhorar as defesas. Esse princípio é atendido usando análises para obter visibilidade do tráfego de rede em sua infraestrutura do Azure. |
Este artigo faz parte de uma série de artigos que demonstram como aplicar os princípios do Zero Trust à rede do Azure.
Os tipos de tráfego de rede abordados neste artigo são:
- Centralizado
- Tráfego leste-oeste, que são fluxos de tráfego entre suas redes virtuais (VNets) do Azure e seus serviços do Azure e rede local
- Norte-Sul, que são fluxos de tráfego entre seu ambiente do Azure e a Internet
Arquitetura de referência
O diagrama a seguir mostra a arquitetura de referência para esta orientação de Zero Trust para inspeção de tráfego entre VNets locais e do Azure, entre VNets do Azure e serviços do Azure e entre seu ambiente do Azure e a Internet.
Esta arquitetura de referência inclui:
- Cargas de trabalho IaaS do Azure em execução em máquinas virtuais do Azure.
- Serviços do Azure.
- Uma VNet de borda da Internet que contém a Proteção contra DDoS do Azure, um Firewall do Azure e um Firewall de Aplicativo Web do Azure (WAF).
- Setas mostrando os fluxos de tráfego leste-oeste e norte-sul.
O que contém este artigo?
Os princípios Zero Trust são aplicados em toda a arquitetura de referência. A tabela a seguir descreve as recomendações para garantir a visibilidade do tráfego de rede nessa arquitetura para o princípio Assumir violação Zero Trust.
| Passo | Tarefa |
|---|---|
| 1 | Implemente um ponto de inspeção de tráfego centralizado. |
| 2 | Implementar a inspeção de tráfego leste-oeste. |
| 3 | Implementar a inspeção de tráfego norte-sul. |
Etapa 1: Implementar um ponto de inspeção de tráfego centralizado
A inspeção de tráfego centralizada oferece a capacidade de controlar e visualizar o tráfego que entra e sai da sua rede. As VNets de hub e spoke e a WAN Virtual do Azure são as duas topologias de rede mais comuns no Azure. Eles têm diferentes capacidades e características na forma como conectam redes. Em ambos os projetos, a VNet de hub é a rede central e é usada para dividir cargas de trabalho em aplicativos e cargas de trabalho da VNet de hub para VNets faladas. A inspeção centralizada inclui o tráfego que flui norte-sul, leste-oeste ou ambos.
Topologia hub-and-spoke
Uma das características de um modelo hub and spoke é que as redes virtuais são todas gerenciadas por você. Uma VNet gerenciada pelo hub do cliente serve como uma VNet compartilhada à qual outras VNets spoke se conectam. Essa VNet centralizada é normalmente usada:
- Estabelecer conectividade híbrida com redes locais.
- Para inspeção e segmentação de tráfego usando o Firewall do Azure ou NVAs (dispositivos virtuais de rede) de terceiros.
- Para centralizar a inspeção do serviço de entrega de aplicativos, como o Gateway de Aplicativo do Azure com WAF.
Nessa topologia, você coloca um Firewall do Azure ou um NVA na VNet do hub e configura rotas definidas pelo usuário (UDRs) para direcionar o tráfego de VNets spoke e da sua rede local para a VNet do hub. O Firewall do Azure ou NVA também pode servir como um mecanismo de rota para rotear o tráfego entre redes virtuais faladas. Um dos recursos mais importantes de um modelo de hub e spoke VNet gerenciado pelo cliente é o controle granular do tráfego usando UDRs e a capacidade de modificar manualmente o roteamento, a segmentação e a propagação dessas rotas.
WAN Virtual do Azure
A WAN Virtual do Azure é uma VNet de hub gerenciada pelo Azure que contém instâncias do Serviço de Rota sob o capô que supervisionam a propagação de rotas de e para todas as filiais e todos os raios. Ele efetivamente permite qualquer conectividade para qualquer lugar.
Uma das grandes diferenças com uma VNet gerenciada (chamada de hub virtual gerenciado) é que a granularidade do controle de roteamento é abstraída para os usuários. Alguns dos principais benefícios incluem:
- Gerenciamento de rotas simplificado usando conectividade nativa de qualquer para qualquer lugar. Se precisar de isolamento de tráfego, você pode configurar manualmente tabelas de rotas personalizadas ou rotas estáticas dentro da tabela de rotas padrão.
- Somente Gateways de Rede Virtual, Firewall do Azure e NVAs aprovados ou dispositivos WAN (SD-WAN) definidos por software podem ser implantados no hub. Serviços centralizados, como DNS e Application Gateways, precisam estar em VNets regulares faladas. Os raios precisam ser anexados aos hubs virtuais usando o emparelhamento VNet.
As redes virtuais gerenciadas são mais adequadas para:
- Implantações em grande escala em regiões que precisam de conectividade de trânsito, fornecendo inspeção de tráfego de e para qualquer local.
- Mais de 30 filiais ou mais de 100 túneis IPsec (Internet Protocol security).
Alguns dos melhores recursos da WAN Virtual são a escalabilidade, a infraestrutura de roteamento e a interconectividade. Exemplos de escalabilidade incluem taxa de transferência de 50 Gbps por hub e 1.000 sites de filial. Para escalar ainda mais, vários hubs virtuais podem ser interconectados para criar uma rede de malha WAN virtual maior. Outro benefício da WAN Virtual é a capacidade de simplificar o roteamento para inspeção de tráfego injetando prefixos com o clique de um botão.
Cada desenho ou modelo apresenta as suas próprias vantagens e desvantagens. A escolha adequada deve ser determinada com base no crescimento futuro previsto e nos requisitos de despesas gerais de gestão.
Etapa 2: Implementar a inspeção de tráfego leste-oeste
Os fluxos de tráfego Este-Oeste incluem VNet-to-VNet e VNet-to-on-premises. Para inspecionar o tráfego entre leste-oeste, você pode implantar um Firewall do Azure ou um NVA na rede virtual do hub. Isso requer que os UDRs direcionem o tráfego privado para o Firewall do Azure ou NVA para inspeção. Dentro da mesma VNet você pode utilizar grupos de segurança de rede para controle de acesso, mas se precisar de um controle mais profundo com inspeção, você pode usar um firewall local ou um firewall centralizado na rede virtual do hub com o uso de UDRs.
Com a WAN Virtual do Azure, você pode ter o Firewall do Azure ou um NVA dentro do hub virtual para roteamento centralizado. Você pode utilizar o Gerenciador de Firewall do Azure ou a intenção de roteamento para inspecionar todo o tráfego privado. Se quiser personalizar a inspeção, você pode ter o Firewall do Azure ou NVA no hub virtual para inspecionar o tráfego desejado. A maneira mais fácil de direcionar o tráfego em um ambiente WAN Virtual é habilitar a intenção de roteamento para tráfego privado. Esse recurso envia prefixos de endereço privado (RFC 1918) para todos os raios conectados ao hub. Qualquer tráfego destinado a um endereço IP privado será direcionado para o hub virtual para inspeção.
Cada método tem suas próprias vantagens e desvantagens. A vantagem de usar a intenção de roteamento é a simplificação do gerenciamento UDR, no entanto, você não pode personalizar a inspeção por conexão. A vantagem de não usar a intenção de roteamento ou o Gerenciador de Firewall é que você pode personalizar a inspeção. A desvantagem é que você não pode fazer inspeção de tráfego entre regiões.
O diagrama a seguir mostra o tráfego leste-oeste dentro do ambiente do Azure.
Para obter visibilidade do tráfego de rede no Azure, a Microsoft recomenda a implementação de um Firewall do Azure ou de um NVA em sua rede virtual. O Firewall do Azure pode inspecionar o tráfego da camada de rede e da camada de aplicativo. Além disso, o Firewall do Azure fornece recursos extras, como IDPS (Sistema de Deteção e Prevenção de Intrusões), inspeção TLS (Transport Layer Security), filtragem de URL e filtragem de Categorias da Web.
A inclusão do Firewall do Azure ou de um NVA em sua rede do Azure é crucial para aderir ao princípio Assumir violação Zero Trust para rede. Dado que as violações podem ocorrer sempre que os dados atravessam uma rede, é essencial compreender e controlar que tráfego é permitido para chegar ao seu destino. O Firewall do Azure, UDRs e grupos de segurança de rede desempenham um papel crucial na habilitação de um modelo de tráfego seguro, permitindo ou negando tráfego entre cargas de trabalho.
Para ver mais detalhes sobre seus fluxos de tráfego de rede virtual, você pode habilitar logs de fluxo de rede virtual ou logs de fluxo NSG. Os dados do log de fluxo são armazenados em uma conta de Armazenamento do Azure onde você pode acessá-los e exportá-los para uma ferramenta de visualização, como o Azure Traffic Analytics. Com o Azure Traffic Analytics, pode encontrar tráfego desconhecido ou indesejado, monitorizar o nível de tráfego e a utilização da largura de banda ou filtrar tráfego específico para compreender o comportamento da sua aplicação.
Etapa 3: Implementar a inspeção de tráfego norte-sul
O tráfego Norte-Sul normalmente inclui o tráfego entre redes privadas e a Internet. Para inspecionar o tráfego norte-sul em uma topologia de hub e spoke, você pode utilizar UDRs para direcionar o tráfego para uma instância do Firewall do Azure ou um NVA. Para publicidade dinâmica, você pode usar um Servidor de Rotas do Azure com um NVA que ofereça suporte a BGP para direcionar todo o tráfego vinculado à Internet de VNets para o NVA.
Na WAN Virtual do Azure, para direcionar o tráfego norte-sul das redes virtuais para o Firewall do Azure ou NVA com suporte no hub virtual, você pode usar estes cenários comuns:
- Use um NVA ou Firewall do Azure no hub virtual controlado com intenção de roteamento ou com o Gerenciador de Firewall do Azure para direcionar o tráfego norte-sul .
- Se o seu NVA não for suportado dentro do hub virtual, você poderá implantá-lo em uma VNet spoke e direcionar o tráfego com UDRs para inspeção. O mesmo se aplica ao Firewall do Azure. Como alternativa, você também pode emparelhar um NVA em um spoke com o hub virtual para anunciar uma rota padrão (0.0.0.0/0).
O diagrama a seguir mostra o tráfego norte-sul entre um ambiente do Azure e a Internet.
O Azure fornece os seguintes serviços de rede projetados para oferecer visibilidade do tráfego de rede que entra e sai do seu ambiente do Azure.
Azure DDoS Protection
A Proteção contra DDoS do Azure pode ser habilitada em qualquer VNet que tenha recursos IP públicos para monitorar e mitigar possíveis ataques distribuídos de negação de serviço (DDoS). Esse processo de mitigação envolve a análise da utilização do tráfego em relação aos limites predefinidos na política de DDoS, seguida pelo registro dessas informações para exame posterior. Para estar melhor preparado para incidentes futuros, as Proteções contra DDoS do Azure oferecem a capacidade de realizar simulações contra os seus endereços IP e serviços públicos, fornecendo informações valiosas sobre a resiliência e a resposta da sua aplicação durante um ataque DDoS.
Azure Firewall
O Firewall do Azure fornece uma coleção de ferramentas para monitorar, auditar e analisar o tráfego de rede.
Registos e métricas
O Firewall do Azure coleta logs detalhados integrando-se aos espaços de trabalho do Azure Log Analytics. Você pode usar consultas KQL (Kusto Query Language) para extrair informações extras sobre as principais categorias de regras, como regras de aplicativo e rede. Você também pode recuperar logs específicos de recursos que expandem esquemas e estruturas do nível de rede para inteligência de ameaças e logs IDPS. Para obter mais informações, consulte Logs estruturados do Firewall do Azure.
Livros
O Firewall do Azure fornece pastas de trabalho que apresentam dados coletados usando gráficos de atividade ao longo do tempo. Essa ferramenta também ajuda você a visualizar vários recursos do Firewall do Azure combinando-os em uma interface unificada. Para obter mais informações, consulte Usando pastas de trabalho do Firewall do Azure.
Análise da Política
O Azure Firewall Policy Analytics fornece uma visão geral das políticas que você implementou e, com base nos insights de políticas, análise de regras e análise de fluxo de tráfego, ajusta e modifica as políticas implementadas para se ajustar a padrões de tráfego e ameaças. Para obter mais informações, consulte Azure Firewall Policy Analytics.
Esses recursos garantem que o Firewall do Azure continue sendo uma solução robusta para proteger o tráfego de rede, fornecendo aos administradores as ferramentas necessárias para um gerenciamento de rede eficaz.
Gateway de Aplicação
O Application Gateway fornece recursos importantes para monitorar, auditar e analisar o tráfego para fins de segurança. Ao habilitar a análise de log e usar consultas KQL predefinidas ou personalizadas, você pode visualizar códigos de erro HTTP, incluindo aqueles nos intervalos 4xx e 5xx que são críticos para identificar problemas.
Os logs de acesso do Application Gateway também fornecem informações críticas sobre os principais parâmetros relacionados à segurança, como endereços IP do cliente, URIs de solicitação, versão HTTP e valores de configuração específicos de SSL/TLS, como protocolos, pacotes de codificação TLS e quando a criptografia SSL está habilitada.
Azure Front Door
O Azure Front Door emprega o Anycast TCP para rotear o tráfego para o ponto de presença (PoP) do datacenter mais próximo. Como um balanceador de carga convencional, você pode colocar um Firewall do Azure ou NVA no pool de back-end do Azure Front Door, também conhecido como sua origem. O único requisito é que o endereço IP na origem seja público.
Depois de configurar o Azure Front Door para receber solicitações, ele gera relatórios de tráfego para mostrar como o perfil do Azure Front Door está se comportando. Quando você usa a camada Premium do Azure Front Door, os relatórios de segurança também estão disponíveis para mostrar correspondências com as regras do WAF, incluindo regras do Open Worldwide Application Security Project (OWASP), regras de proteção de bot e regras personalizadas.
Azure WAF
O WAF do Azure é um recurso de segurança adicional que inspeciona o tráfego da camada 7 e pode ser ativado para o Application Gateway e o Azure Front Door com determinadas camadas. Isso fornece uma camada extra de segurança para o tráfego não originado no Azure. Você pode configurar o WAF nos modos de prevenção e deteção usando definições de regra principal do OWASP.
Ferramentas de monitorização
Para um monitoramento abrangente dos fluxos de tráfego norte-sul, você pode usar ferramentas como logs de fluxo NSG, Azure Traffic Analytics e logs de fluxo VNet para melhorar a visibilidade da rede.
Formação recomendada
- Configurar e gerenciar redes virtuais para administradores do Azure
- Introdução ao Firewall de Aplicativo Web do Azure
- Introdução à WAN Virtual do Azure
- Introdução ao Azure Front Door
- Introdução ao Azure Application Gateway
Passos Seguintes
Para obter informações adicionais sobre como aplicar o Zero Trust à rede do Azure, consulte:
- Criptografar a comunicação de rede baseada no Azure
- Segmentar a comunicação de rede baseada no Azure
- Descontinuar a tecnologia de segurança de rede herdada
- Proteja as redes com Zero Trust
- Redes virtuais spoke no Azure
- Hub de redes virtuais no Azure
- Redes virtuais spoke com serviços PaaS do Azure
- WAN Virtual do Azure
Referências
Consulte estes links para saber mais sobre os vários serviços e tecnologias mencionados neste artigo.
- Azure DDoS Protection
- Azure Firewall
- Firewall de Aplicativo Web do Azure
- WAN Virtual do Azure
- Gateway de Aplicação do Azure
- Rotas definidas pelo usuário
- Azure Firewall Manager
- Logs de fluxo de VNet
- Logs de fluxo NSG
- Azure Traffic Analytics
- Azure Route Server
- Logs estruturados do Firewall do Azure
- Usando pastas de trabalho do Firewall do Azure
- Azure Firewall Policy Analytics
- Azure Front Door