Поделиться через

Рекомендации по сети и подключению

  • Статья

Применяется к этой рекомендации по безопасности Azure Well-Architected Framework:

SE:06 Изоляция, фильтрация и управление сетевым трафиком как входящего, так и исходящего трафика. Применение принципов глубинной защиты с помощью локализованных сетевых элементов управления на всех доступных границах сети как на востоке, так и на северо-юге.

В этом руководстве описаны рекомендации по проектированию сети. Основное внимание уделяется элементам управления безопасности, которые могут фильтровать, блокировать и обнаруживать злоумышленников, пересекающих границы сети в различных глубинах архитектуры.

Вы можете укрепить элементы управления удостоверениями, реализуя меры контроля доступа на основе сети. Наряду с контролем доступа на основе удостоверений безопасность сети является высоким приоритетом для защиты ресурсов. Правильные средства управления безопасностью сети могут предоставлять элемент глубинной защиты, который может помочь обнаруживать и содержать угрозы, а также предотвращать получение злоумышленниками доступа к рабочей нагрузке.

Определения

Срок Определение
Восточный/западный трафик Сетевой трафик, перемещаемый в пределах доверенной границы.
Поток исходящего трафика Исходящий трафик рабочей нагрузки.
Враждебная сеть Сеть, которая не развернута в рамках рабочей нагрузки. Враждебная сеть считается вектором угроз.
Поток входящего трафика Входящий трафик рабочей нагрузки.
Фильтрация сети Механизм, который разрешает или блокирует сетевой трафик на основе указанных правил.
Сегментация сети или изоляция Стратегия, которая разделяет сеть на небольшие изолированные сегменты с элементами управления безопасностью, применяемыми на границах. Этот метод помогает защитить ресурсы от враждебных сетей, таких как Интернет.
Преобразование сети Механизм, который мутирует сетевые пакеты, чтобы скрыть их.
Северный/южный трафик Сетевой трафик, перемещающийся с доверенной границы на внешние сети, которые потенциально враждебны, и наоборот.

Основные стратегии проектирования

Сетевая безопасность использует скрытие для защиты ресурсов рабочей нагрузки от враждебных сетей. Ресурсы, которые находятся за границей сети, скрыты, пока элементы управления границами не помечают трафик как безопасный для перемещения вперед. Проектирование безопасности сети основано на трех основных стратегиях:

  • Сегмент. Этот метод изолирует трафик в отдельных сетях путем добавления границ. Например, трафик на уровень приложений и из него передает границу для взаимодействия с другими уровнями, которые имеют разные требования к безопасности. Слои сегментации повещают подход глубинной обороны.

    Прежде всего граница безопасности — это сетевой край между приложением и общедоступными сетями. Важно четко определить этот периметр, чтобы установить границу для изоляции враждебных сетей. Элементы управления на этом крае должны быть очень эффективными, так как эта граница является первой линией защиты.

    Виртуальные сети предоставляют логическую границу. По проектированию виртуальная сеть не может взаимодействовать с другой виртуальной сетью, если граница не была намеренно нарушена через пиринг. Ваша архитектура должна воспользоваться этой строгой мерой безопасности, предоставляемой платформой.

    Вы также можете использовать другие логические границы, такие как вырезанные подсети в виртуальной сети. Преимущество подсетей заключается в том, что их можно использовать для группировки ресурсов, находящихся в пределах границы изоляции и имеющих аналогичные гарантии безопасности. Затем можно настроить элементы управления на границе для фильтрации трафика.

  • Фильтр. Эта стратегия помогает гарантировать, что трафик, который входит в границу, ожидается, разрешен и безопасн. С точки зрения нулевого доверия фильтрация явно проверяет все доступные точки данных на уровне сети. Правила можно разместить на границе, чтобы проверить наличие определенных условий.

    Например, на уровне заголовка правила могут убедиться, что трафик поступает из ожидаемого расположения или имеет ожидаемый том. Но эти проверки недостаточно. Даже если трафик отображает ожидаемые характеристики, полезные данные могут быть небезопасны. Проверка может показать атаку на внедрение SQL.

  • Преобразование. Мутировать пакеты на границе в качестве меры безопасности. Например, можно удалить заголовки HTTP, чтобы устранить риск воздействия. Или вы можете отключить протокол TLS в одной точке и восстановить его в другом прыжке с помощью сертификата, управляемого более строго.

Классификация потоков трафика

Первым шагом в классификации потоков является изучение схемы архитектуры рабочей нагрузки. В схеме определите намерение и характеристики потока в отношении функциональной служебной программы и операционных аспектов рабочей нагрузки. Чтобы классифицировать поток, используйте следующие вопросы:

  • Если рабочая нагрузка должна взаимодействовать с внешними сетями, то какой уровень близости к этим сетям должен соответствовать?

  • Каковы сетевые характеристики потока, такие как ожидаемый протокол и источник и форма пакетов? Существуют ли требования к соответствию на уровне сети?

Существует множество способов классификации потоков трафика. В следующих разделах рассматриваются часто используемые критерии.

Видимость из внешних сетей

  • Общедоступное место. Рабочая нагрузка является общедоступной, если его приложение и другие компоненты доступны из общедоступного Интернета. Приложение предоставляется с помощью одного или нескольких общедоступных IP-адресов и серверов системы доменных имен (DNS).

  • Приватность. Рабочая нагрузка является частной, если доступ к ней осуществляется только через частную сеть, например виртуальную частную сеть (VPN). Он предоставляется только через один или несколько частных IP-адресов и потенциально через частный DNS-сервер.

    В частной сети нет линии видимости из общедоступного Интернета в рабочую нагрузку. Для шлюза можно использовать подсистему балансировки нагрузки или брандмауэр. Эти параметры могут обеспечить гарантии безопасности.

Даже при использовании общедоступных рабочих нагрузок старайтесь обеспечить максимальное количество частных рабочих нагрузок. Этот подход заставляет пакеты пересекать частную границу при поступлении из общедоступной сети. Шлюз в этом пути может функционировать как точка перехода, выступая в качестве обратного прокси-сервера.

Направление трафика

  • Входящий трафик. Входящий трафик — это входящий трафик, который направляется к рабочей нагрузке или его компонентам. Чтобы защитить входящий трафик, примените предыдущий набор ключевых стратегий. Определите, что такое источник трафика, и следует ли ожидать, разрешено и безопасно. Злоумышленники, которые сканируют диапазоны IP-адресов общедоступного поставщика облачных услуг, могут успешно проникать в защиту, если вы не проверяете входящий трафик или реализуете основные меры безопасности сети.

  • Исходящий трафик. Исходящий трафик — это исходящий трафик, который выходит из рабочей нагрузки или его компонентов. Чтобы проверить исходящий трафик, определите, куда направляется трафик, а также ожидается ли назначение, разрешено и безопасно. Назначение может быть вредоносным или связано с рисками кражи данных.

Схема, показывающая поток сетевого трафика между развертываниями Azure и Интернетом.

Вы также можете определить уровень воздействия, учитывая близость рабочей нагрузки к общедоступному Интернету. Например, платформа приложений обычно обслуживает общедоступные IP-адреса. Компонент рабочей нагрузки является лицом решения.

Область влияния

  • Север-юг. Трафик, который передается между сетью рабочей нагрузки и внешними сетями, — это трафик на север-юг. Этот трафик пересекает границу сети. Внешние сети могут быть общедоступным Интернетом, корпоративной сетью или любой другой сетью, которая находится за пределами вашей области управления.

    Входящий трафик и исходящий трафик могут быть как северо-южным.

    В качестве примера рассмотрим поток исходящего трафика топологии центральной сети. Вы можете определить сетевой край рабочей нагрузки, чтобы концентратор был внешней сетью. В этом случае исходящий трафик из виртуальной сети периферийной сети является северо-южным трафиком. Но если вы считаете, что сеть концентратора в пределах вашей сферы контроля, северо-южный трафик распространяется на брандмауэр в центре, потому что следующий прыжок является Интернетом, который потенциально враждебно.

  • Восток-запад. Трафик, который передается в сети рабочей нагрузки, — это трафик на востоке- запад. Этот тип трафика приводит к тому, что компоненты в рабочей нагрузке взаимодействуют друг с другом. Примером является трафик между уровнями приложения n-уровня. В микрослужбах обмен данными между службами — это трафик на востоке запада.

Чтобы обеспечить защиту в глубине, обеспечить комплексный контроль над доступностью безопасности, включенных в каждый прыжк или используемый при перекрестных пакетах между внутренними сегментами. Для различных уровней риска требуются различные методы исправления рисков.

Схема, на которую подробно показана защита сети для частного облака.

На предыдущей схеме подробно показана защита сети в частном облаке. На этой схеме граница между общедоступными и частными IP-адресами значительно дальше от рабочей нагрузки, чем на схеме общедоступного облака. Несколько слоев отделяют развертывания Azure от общедоступного IP-адреса.

Примечание.

Удостоверение всегда является основным периметром. Управление доступом должно применяться к сетевым потокам. Используйте управляемые удостоверения при использовании управления доступом на основе ролей Azure (RBAC) между компонентами сети.

После классификации потоков выполните упражнение сегментации, чтобы определить точки внедрения брандмауэра на путях взаимодействия сегментов сети. При проектировании защиты сети на всех сегментах и всех типах трафика предполагается нарушение на всех точках. Используйте сочетание различных локализованных сетевых элементов управления на всех доступных границах. Дополнительные сведения см. в разделе "Стратегии сегментации".

Применение брандмауэров на границе

Интернет-пограничный трафик — это северо-южный трафик и включает входящий трафик и исходящий трафик. Чтобы обнаруживать или блокировать угрозы, стратегия пограничных вычислений должна устранять как можно больше атак и из Интернета.

Для исходящего трафика отправьте весь интернет-трафик через единый брандмауэр , обеспечивающий расширенный надзор, управление и контроль трафика. Для входящего трафика заставить весь трафик из Интернета пройти через сетевое виртуальное устройство (NVA) или брандмауэр веб-приложения.

  • Брандмауэры обычно являются одноэлементными, развернутыми в каждом регионе в организации. В результате они делятся между рабочими нагрузками и принадлежат центральной команде. Убедитесь, что все используемые сетевые сети настроены для поддержки потребностей рабочей нагрузки.

  • Рекомендуется использовать собственные элементы управления Azure как можно больше.

    Помимо собственных элементов управления, вы также можете рассмотреть сетевые сети партнеров, предоставляющие расширенные или специализированные функции. В Azure Marketplace доступны продукты поставщика брандмауэра для брандмауэра партнеров и брандмауэра веб-приложений.

    Решение об использовании собственных функций в отличие от партнерских решений должно основываться на опыте и требованиях вашей организации.

    Компромисс. Возможности партнеров часто предоставляют расширенные функции, которые могут защитить от сложных, но обычно редких атак. Конфигурация партнерских решений может быть сложной и хрупкой, так как эти решения не интегрируются с контроллерами структуры облака. С точки зрения затрат, собственный контроль предпочтителен, потому что это дешевле, чем партнерские решения.

Любые технологические варианты, которые следует учитывать, должны обеспечивать контроль безопасности и мониторинг для потоков входящего трафика и исходящего трафика. Сведения о параметрах, доступных для Azure, см. в разделе "Безопасность Edge" в этой статье.

Проектирование безопасности виртуальной сети и подсети

Основная цель частного облака заключается в том, чтобы скрыть ресурсы из общедоступного Интернета. Существует несколько способов достижения этой цели:

  • Перейдите к пространствам частных IP-адресов, которые можно выполнить с помощью виртуальных сетей. Свести к минимуму сетевой линии видимости даже в собственных частных сетях.

  • Свести к минимуму количество общедоступных записей DNS, используемых для предоставления меньшей рабочей нагрузки.

  • Добавьте входящий трафик и управление потоком исходящего трафика. Не разрешайте трафик, который не доверен.

Стратегия сегментации

Чтобы свести к минимуму видимость сети, сегментируйте сеть и начните с элементов управления сетью с минимальными привилегиями. Если сегмент не является маршрутизируемым, доступ к нему невозможно. Расширьте область, чтобы включить только сегменты, которые должны взаимодействовать друг с другом через сетевой доступ.

Виртуальные сети можно сегментирует, создавая подсети. Критерии разделения должны быть преднамеренными. При сортировке служб внутри подсети убедитесь, что эти службы могут видеть друг друга.

Сегментацию можно основывать на многих факторах. Например, можно разместить различные уровни приложений в выделенных сегментах. Другой подход заключается в планировании подсетей на основе общих ролей и функций, использующих известные протоколы.

Дополнительные сведения см. в разделе "Стратегии сегментации".

Брандмауэры подсети

Важно проверить входящий и исходящий трафик каждой подсети. Используйте три основных стратегии, рассмотренные ранее в этой статье, в ключевых стратегиях проектирования. Проверьте, ожидается ли поток, разрешено ли и безопасно. Чтобы проверить эти сведения, определите правила брандмауэра, основанные на протоколе, источнике и назначении трафика.

В Azure вы устанавливаете правила брандмауэра в группах безопасности сети. Дополнительные сведения см. в разделе "Группы безопасности сети" в этой статье.

Пример разработки подсети см. в статье Azure виртуальная сеть подсети.

Использование элементов управления на уровне компонента

После минимизации видимости сети вы можете сопоставить ресурсы Azure с точки зрения сети и оценить потоки. Возможны следующие типы потоков:

  • Запланированный трафик или намеренное взаимодействие между службами в соответствии с архитектурой. Например, вы планируете трафик, когда архитектура рекомендует Функции Azure извлекать сообщения из Служебная шина Azure.

  • Трафик управления или обмен данными, которые происходят в рамках функциональных возможностей службы. Этот трафик не является частью вашего дизайна, и у вас нет контроля над ним. Пример управляемого трафика — обмен данными между службами Azure в архитектуре и плоскости управления Azure.

Различие между запланированным и управляемым трафиком помогает создавать локализованные элементы управления или уровни обслуживания. У вас есть хорошее представление о источнике и назначении на каждом прыжке. Особенно понять, как предоставляется плоскость данных.

В качестве отправной точки определите, предоставляется ли каждая служба в Интернете. Если это так, запланируйте, как ограничить доступ. Если это не так, поместите его в виртуальную сеть.

Брандмауэры служб

Если вы ожидаете, что служба будет предоставляться в Интернете, воспользуйтесь брандмауэром уровня обслуживания, доступным для большинства ресурсов Azure. При использовании этого брандмауэра можно задать правила на основе шаблонов доступа. Дополнительные сведения см. в разделе брандмауэров служб Azure в этой статье.

Примечание.

Если компонент не является службой, используйте брандмауэр на основе узла в дополнение к брандмауэрам на уровне сети. Виртуальная машина — это пример компонента, который не является службой.

Подключение к службам paaS (платформа как услуга)

Рассмотрите возможность использования частных конечных точек для защиты доступа к службам PaaS. Частная конечная точка назначает частный IP-адрес из виртуальной сети. Конечная точка позволяет другим ресурсам в сети взаимодействовать со службой PaaS по частному IP-адресу.

Взаимодействие со службой PaaS достигается с помощью общедоступного IP-адреса службы и записи DNS. Эта связь происходит через Интернет. Вы можете сделать этот обмен данными частным.

Туннель из службы PaaS в одну из подсетей создает частный канал. Все обмен данными происходит с частного IP-адреса компонента в частную конечную точку в этой подсети, которая затем взаимодействует со службой PaaS.

В этом примере изображение слева показывает поток для общедоступных конечных точек. Справа этот поток защищен с помощью частных конечных точек.

Схема, показывая, как частная конечная точка помогает защитить базу данных от пользователей Интернета.

Дополнительные сведения см. в разделе " Частные конечные точки" в этой статье.

Примечание.

Рекомендуется использовать частные конечные точки в сочетании с брандмауэрами служб. Брандмауэр службы блокирует входящий интернет-трафик, а затем предоставляет службу частным пользователям, использующим частную конечную точку.

Еще одним преимуществом использования частных конечных точек является то, что вам не нужно открывать порты в брандмауэре для исходящего трафика. Частные конечные точки блокируют весь исходящий трафик через порт для общедоступного Интернета. Подключение ограничено ресурсами в сети.

Компромисс: Приватный канал Azure — это платная служба, которая имеет метры для входящих и исходящих данных, которые обрабатываются. Плата также взимается за частные конечные точки.

Защита от атак типа "отказ в обслуживании" (DDoS)

Атака DDoS пытается исчерпать ресурсы приложения, чтобы сделать приложение недоступным для законных пользователей. Атаки DDoS могут нацелены на любую конечную точку, доступную в Интернете.

Атака DDoS обычно является массовым, широкомасштабным, географически распределенным злоупотреблением ресурсами вашей системы, что делает его трудно определить и заблокировать источник.

Сведения о поддержка Azure для защиты от этих атак см. в разделе "Защита от атак DDoS Azure" в этой статье.

Упрощение функций Azure

Следующие службы Azure можно использовать для добавления в сеть возможностей глубинной защиты.

Виртуальная сеть Azure

виртуальная сеть помогает ресурсам Azure безопасно взаимодействовать друг с другом, Интернетом и локальными сетями.

По умолчанию все ресурсы в виртуальной сети могут участвовать в исходящем обмене данными с Интернетом. Но входящий обмен данными по умолчанию ограничен.

виртуальная сеть предлагает функции фильтрации трафика. Доступ можно ограничить на уровне виртуальной сети с помощью определяемого пользователем маршрута (UDR) и компонента брандмауэра. На уровне подсети можно фильтровать трафик с помощью групп безопасности сети.

Безопасность пограничных вычислений

По умолчанию входящий трафик и исходящий трафик по общедоступным IP-адресам. В зависимости от службы или топологии вы задаете эти адреса или назначаете их Azure. Другие возможности входящего трафика и исходящего трафика включают передачу трафика через подсистему балансировки нагрузки или шлюз преобразования сетевых адресов (NAT). Но эти службы предназначены для распределения трафика и не обязательно для безопасности.

Рекомендуется использовать следующие варианты технологий:

  • Брандмауэр Azure. Вы можете использовать Брандмауэр Azure в пограничной сети и в популярных топологиях сети, таких как сетевые сети с периферийными концентраторами и виртуальными WAN. Обычно вы развертываете Брандмауэр Azure в качестве брандмауэра исходящего трафика, который выступает в качестве окончательного шлюза безопасности перед переходом трафика в Интернет. Брандмауэр Azure может маршрутизировать трафик, использующий протоколы, отличные от HTTP и не HTTPS, такие как протокол удаленного рабочего стола (RDP), протокол Secure Shell (SSH) и протокол ПЕРЕДАЧи файлов (FTP). Набор функций Брандмауэр Azure включает:

    • Преобразование сетевых адресов назначения (DNAT) или перенаправление портов.
    • Обнаружение и обнаружение подписей системы обнаружения вторжений (IDPS).
    • Правила сети строгого уровня 3, уровня 4 и полного доменного имени (FQDN).

    Примечание.

    Большинство организаций имеют политику принудительного туннелирования, которая заставляет трафик проходить через NVA.

    Если вы не используете топологию виртуальной глобальной сети, необходимо развернуть UDR с NextHopType Internet частным IP-адресом NVA. Определяемые пользователем идентификаторы применяются на уровне подсети. По умолчанию трафик подсети к подсети не проходит через NVA.

    Вы также можете использовать Брандмауэр Azure одновременно для входящего трафика. Он может маршрутизировать трафик HTTP и HTTPS. В более многоуровневых номерах SKU Брандмауэр Azure предлагает завершение TLS, чтобы можно было реализовать проверки на уровне полезных данных.

    Рекомендуется использовать следующие методики.

    • Включите параметры диагностика в Брандмауэр Azure для сбора журналов потока трафика, журналов IDPS и журналов запросов DNS.

    • Будьте как можно более конкретными в правилах.

    • Где это удобно, избегайте тегов службы FQDN. Но при их использовании используйте региональный вариант, позволяющий обмен данными со всеми конечными точками службы.

    • Используйте группы IP для определения источников, которые должны совместно использовать те же правила в течение жизни группы IP. Группы IP-адресов должны отражать стратегию сегментации.

    • Переопределите полное доменное имя инфраструктуры, разрешая правило, только если для рабочей нагрузки требуется абсолютный контроль исходящего трафика. Переопределение этого правила связано с компромиссом надежности, так как требования платформы Azure изменяются в службах.

    Компромисс: Брандмауэр Azure может повлиять на производительность. Порядок правил, количество, проверка TLS и другие факторы могут привести к значительной задержке.

    Кроме того, может повлиять на надежность рабочей нагрузки. Он может столкнуться с исчерпанием портов преобразования сетевых адресов (SNAT). Чтобы устранить эту проблему, добавьте общедоступные IP-адреса по мере необходимости.

    Риск. Для исходящего трафика Azure назначает общедоступный IP-адрес. Это назначение может повлиять на внешний шлюз безопасности.

  • Azure Брандмауэр веб-приложений. Эта служба поддерживает входящий фильтр и предназначен только для трафика HTTP и HTTPS.

    Он обеспечивает базовую безопасность для распространенных атак, таких как угрозы, которые проект Open Worldwide Application Security (OWASP) идентифицирует в документе OWASP Top 10. Azure Брандмауэр веб-приложений также предоставляет другие функции безопасности, ориентированные на уровень 7, такие как ограничение скорости, правила внедрения SQL и скрипты между сайтами.

    При использовании Azure Брандмауэр веб-приложений требуется завершение TLS, так как большинство проверок основаны на полезных данных.

    Вы можете интегрировать Azure Брандмауэр веб-приложений с маршрутизаторами, такими как Шлюз приложений Azure или Azure Front Door. Реализации azure Брандмауэр веб-приложений для таких маршрутизаторов могут отличаться.

Брандмауэр Azure и Azure Брандмауэр веб-приложений не являются взаимоисключающими вариантами. Для решения для безопасности пограничных вычислений доступны различные варианты. Примеры см. в разделе "Брандмауэр" и Шлюз приложений для виртуальных сетей.

Группы безопасности сети

Группа безопасности сети — это брандмауэр уровня 3 и уровня 4, применяемый на уровне подсети или сетевой карты (сетевой карты). Группы безопасности сети не создаются или применяются по умолчанию.

Правила группы безопасности сети служат брандмауэром для остановки трафика, который выполняется в периметре подсети. Группа безопасности сети имеет набор правил по умолчанию, который слишком недопустим. Например, правила по умолчанию не задают брандмауэр с точки зрения исходящего трафика. Для входящего трафика не допускается входящий интернет-трафик.

Чтобы создать правила, начните с набора правил по умолчанию:

  • Для входящего трафика или входящего трафика:
    • Разрешен трафик виртуальной сети из прямых, пиринговых и VPN-шлюзов.
    • Разрешены пробы работоспособности Azure Load Balancer.
    • Все остальные трафик заблокированы.
  • Для исходящего трафика или исходящего трафика:
    • Разрешен трафик виртуальной сети для прямого, пирингового и VPN-шлюза.
    • Трафик в Интернет разрешен.
    • Все остальные трафик заблокированы.

Затем рассмотрим следующие пять факторов:

  • Протокол
  • Исходный IP-адрес
  • Исходный порт
  • IP-адрес назначения
  • Порт назначения

Отсутствие поддержки полного доменного имени ограничивает функциональные возможности группы безопасности сети. Вам нужно предоставить определенные диапазоны IP-адресов для рабочей нагрузки, и их трудно поддерживать.

Но для служб Azure можно использовать теги служб для суммирование диапазонов IP-адресов источника и назначения. Преимущество безопасности тегов служб заключается в том, что они непрозрачны для пользователя, и ответственность перезагружается в Azure. Вы также можете назначить группу безопасности приложений в качестве типа назначения для маршрутизации трафика. Этот тип именованной группы содержит ресурсы с аналогичными потребностями входящего или исходящего доступа.

Риск. Диапазоны тегов службы очень широки, чтобы они могли соответствовать максимально широкому спектру клиентов. Обновления тегов служб отстают от изменений в службе.

Схема, показывающая изоляцию виртуальной сети по умолчанию с пирингом.

На предыдущем изображении группы безопасности сети применяются в сетевом адаптере. Интернет-трафик и трафик подсети в подсеть запрещены. Группы безопасности сети применяются с тегом VirtualNetwork . Таким образом, в этом случае подсети одноранговых сетей имеют прямую линию зрения. Широкое определение тега VirtualNetwork может оказать значительное влияние на безопасность.

При использовании тегов служб используйте региональные версии, например Storage.WestUS вместо Storage. С помощью этого подхода можно ограничить область для всех конечных точек в определенном регионе.

Некоторые теги предназначены исключительно для входящего или исходящего трафика. Другие относятся к обоим типам. Входящие теги обычно разрешают трафик из всех рабочих нагрузок размещения, например AzureFrontDoor.Backendиз Azure, или из Azure для поддержки сред выполнения служб, таких как LogicAppsManagement. Аналогичным образом исходящие теги позволяют трафику выполнять все рабочие нагрузки размещения или из Azure для поддержки сред выполнения служб.

Максимальное количество правил. В следующем примере правило имеет определенные значения. Любой другой тип трафика запрещен.

Информация Пример
Протокол Протокол управления передачей (TCP), UDP
Исходный IP-адрес Разрешить вход в подсеть из <диапазона> ip-адресов источника: 4575/UDP
Исходный порт Разрешить вход в подсеть из <тега> службы: 443/TCP
IP-адрес назначения Разрешить исходящий трафик из подсети в <диапазон> ip-адресов назначения: 443/TCP
Порт назначения Разрешить исходящий трафик из подсети в <тег> службы: 443/TCP

Подведение итогов.

  • Будьте точны при создании правил. Разрешить только трафик, необходимый для работы приложения. Отрицать все остальное. Этот подход ограничивает сетевую линию видимости сетевыми потоками, необходимыми для поддержки работы рабочей нагрузки. Поддержка большего объема сетевых потоков, чем необходимо, приводит к ненужным векторам атак и расширяет область поверхности.

    Ограничение трафика не означает, что разрешенные потоки выходят за рамки атаки. Так как группы безопасности сети работают на уровнях 3 и 4 в стеке взаимодействия с открытыми системами (OSI), они содержат только сведения о фигуре и направлении. Например, если рабочая нагрузка должна разрешить трафик DNS в Интернет, вы будете использовать группу Internet:53:UDPбезопасности сети. В этом случае злоумышленник может получить доступ к данным через UDP через порт 53 в другую службу.

  • Понять, что группы безопасности сети могут немного отличаться друг от друга. Легко пропустить намерение различий. Чтобы обеспечить детализированную фильтрацию, безопаснее создавать дополнительные группы безопасности сети. Настройте по крайней мере одну группу безопасности сети.

    • Добавление группы безопасности сети разблокирует множество средств диагностика, таких как журналы потоков и аналитика сетевого трафика.

    • Используйте Политика Azure для управления трафиком в подсетях, у которых нет групп безопасности сети.

  • Если подсеть поддерживает группы безопасности сети, добавьте группу, даже если она минимально влияет.

Брандмауэры служб Azure

Большинство служб Azure предлагают брандмауэр уровня обслуживания. Эта функция проверяет трафик входящего трафика в службу из указанных диапазонов маршрутизации между доменами (CIDR). Эти брандмауэры предлагают преимущества:

  • Они обеспечивают базовый уровень безопасности.
  • Существует терпимое влияние на производительность.
  • Большинство служб предлагают эти брандмауэры без дополнительных затрат.
  • Брандмауэры выдают журналы через Azure диагностика, которые могут быть полезны для анализа шаблонов доступа.

Но существуют также проблемы безопасности, связанные с этими брандмауэрами, и существуют ограничения, связанные с предоставлением параметров. Например, если вы используете агенты сборки, размещенные Корпорацией Майкрософт, необходимо открыть диапазон IP-адресов для всех агентов сборки, размещенных корпорацией Майкрософт. Затем диапазон открывается агенту сборки, другим клиентам и злоумышленникам, которые могут злоупотреблять вашей службой.

Если у вас есть шаблоны доступа для службы, которые можно настроить в качестве наборов правил брандмауэра службы, следует включить службу. Вы можете использовать Политика Azure, чтобы включить его. Убедитесь, что вы не включите параметр доверенных служб Azure, если он не включен по умолчанию. Это приводит ко всем зависимым службам, которые находятся в области правил.

Дополнительные сведения см. в документации по продуктам отдельных служб Azure.

Частные конечные точки

Приватный канал предоставляет способ предоставления экземпляра PaaS частного IP-адреса. Затем служба недоступна через Интернет. Частные конечные точки не поддерживаются для всех номеров SKU.

При использовании частных конечных точек следует учитывать следующие рекомендации.

  • Настройте службы, привязанные к виртуальным сетям для связи со службами PaaS через частные конечные точки, даже если эти службы PaaS также должны предоставлять общедоступный доступ.

  • Повышение уровня использования групп безопасности сети для частных конечных точек для ограничения доступа к IP-адресам частной конечной точки.

  • Всегда используйте брандмауэры служб при использовании частных конечных точек.

  • Если у вас есть служба, доступная только через частные конечные точки, удалите конфигурацию DNS для своей общедоступной конечной точки.

  • При реализации частных конечных точек рассмотрите проблемы со средой выполнения. Но также рассмотрите проблемы DevOps и мониторинга.

  • Используйте Политика Azure для принудительной настройки ресурсов.

Компромисс. Номера SKU службы с частными конечными точками являются дорогостоящими. Частные конечные точки могут усложнять операции из-за скрытия сети. В архитектуру необходимо добавить автономные агенты, ящики перехода, VPN и другие компоненты.

Управление DNS может быть сложным в распространенных топологиях сети. Возможно, потребуется ввести DNS-серверы пересылки и другие компоненты.

Внедрение в виртуальную сеть

Процесс внедрения виртуальной сети можно использовать для развертывания некоторых служб Azure в сети. Примерами таких служб являются служба приложение Azure, Функции, Azure Управление API и Azure Spring Apps. Этот процесс изолирует приложение от Интернета, систем в частных сетях и других службах Azure. Входящий и исходящий трафик из приложения разрешен или запрещен в зависимости от правил сети.

Бастион Azure

Бастион Azure можно использовать для подключения к виртуальной машине с помощью браузера и портал Azure. Бастион Azure повышает безопасность подключений RDP и SSH. Типичный вариант использования включает подключение к прямоугольнику перехода в той же виртуальной сети или одноранговой виртуальной сети. Использование Бастиона Azure удаляет необходимость для виртуальной машины иметь общедоступный IP-адрес.

Защита от атак DDoS Azure

Каждое свойство в Azure защищено защитой инфраструктуры DDoS Azure без дополнительных затрат и без дополнительной настройки. Уровень защиты является базовым, но защита имеет высокие пороговые значения. Она также не предоставляет данные телеметрии или оповещения, а также не зависит от рабочей нагрузки.

Более высокий уровень SKU защиты от атак DDoS доступен, но не является бесплатным. Масштаб и емкость глобально развернутой сети Azure обеспечивает защиту от распространенных атак сетевого уровня. Такие технологии, как мониторинг трафика и устранение рисков в режиме реального времени, обеспечивают эту возможность.

Дополнительные сведения см. в обзоре Защиты от атак DDoS Azure.

Пример

Ниже приведены некоторые примеры, демонстрирующие использование сетевых элементов управления, рекомендуемых в этой статье.

ИТ-среда

В этом примере используется среда ИТ-технологий, созданная в базовом плане безопасности (SE:01). Этот подход обеспечивает широкое представление о сетевых элементах управления, применяемых на различных периметрах для ограничения трафика.

Схема, демонстрирующая пример базовой конфигурации безопасности организации с сетевыми элементами управления.

  1. Пользователи сетевой атаки. Несколько лиц могут рассматриваться в сетевой атаке, включая администраторов, сотрудников, клиентов и анонимных злоумышленников.

  2. VPN-доступ. Недопустимый субъект может получить доступ к локальной среде через VPN или среду Azure, подключенную к локальной среде через VPN. Настройте с помощью протокола IPSec для обеспечения безопасного взаимодействия.

  3. Общедоступный доступ к приложению. Брандмауэр веб-приложения (WAF) перед приложением, чтобы защитить его на уровне 7 сетевой ОСИ.

  4. Доступ к оператору. Удаленный доступ через уровень 4 сетевых уровней OSI должен быть защищен. Рассмотрите возможность использования Брандмауэр Azure с функциями поставщика удостоверений и удостоверений.

  5. Защита от атак DDoS. Защита от атак DDoS для всей виртуальной сети.

  6. Топология сети. Топология сети, например концентратор-периферийный, более безопасна и оптимизирует затраты. Сеть концентратора обеспечивает централизованную защиту брандмауэра для всех одноранговых периферийных компонентов.

  7. Частные конечные точки. Рассмотрите возможность добавления общедоступных служб в частную сеть с помощью частных конечных точек. Они создают сетевую карту (сетевую карту) в частной виртуальной сети и привязываются к службе Azure.

  8. Обмен данными TLS. Защита передаваемых данных путем обмена данными по протоколу TLS.

  9. Группа безопасности сети (NSG): защита сегментов в виртуальной сети с помощью NSG— бесплатный ресурс, который фильтрует входящий и исходящий трафик TCP/UDP, учитывая диапазоны IP-адресов и портов. Часть NSG — это группа безопасности приложений (ASG), которая позволяет создавать теги для правил трафика для упрощения управления.

  10. Log Analytics. Ресурсы Azure выдают данные телеметрии, которые используются в Log Analytics, а затем используются с решением SIEM, например Microsoft Sentinel для анализа.

  11. Интеграция Microsoft Sentinel. Log Analytics интегрирован с Microsoft Sentinel и другими решениями, такими как Microsoft Defender для облака.

  12. Microsoft Defender для облака. Microsoft Defender для облака предоставляет множество решений по защите рабочих нагрузок, включая рекомендации по сети для вашей среды.

  13. Аналитика трафика. Мониторинг сетевых элементов управления с помощью Аналитики трафика. Это настраивается с помощью Наблюдатель за сетями, части Azure Monitor и агрегирования входящих и исходящих попаданий в подсети, собранных NSG.

Архитектура для контейнерной рабочей нагрузки

В этом примере архитектуры объединяются сетевые элементы управления, описанные в этой статье. В примере не показана полная архитектура. Вместо этого он фокусируется на элементах управления входящего трафика в частном облаке.

Схема, показывающая управляемые входящий трафик, включая Шлюз приложений, группу безопасности сети, бастион Azure и защиту от атак DDoS Azure.

Шлюз приложений — это подсистема балансировки нагрузки веб-трафика, которую можно использовать для управления трафиком в веб-приложениях. Развертывание Шлюз приложений в выделенной подсети с элементами управления группами безопасности сети и элементами управления брандмауэром веб-приложения.

Обмен данными со всеми службами PaaS осуществляется через частные конечные точки. Все конечные точки помещаются в выделенную подсеть. Защита от атак DDoS помогает защитить все общедоступные IP-адреса, настроенные для базового или более высокого уровня защиты брандмауэра.

Трафик управления ограничен через Бастион Azure, который помогает обеспечить безопасное и простое подключение RDP и SSH к виртуальным машинам непосредственно из портал Azure по протоколу TLS. Агенты сборки помещаются в виртуальную сеть, чтобы они имели сетевое представление для рабочих нагрузок, таких как вычислительные ресурсы, реестры контейнеров и базы данных. Этот подход помогает обеспечить безопасную и изолированную среду для агентов сборки, что повышает защиту кода и артефактов.

Схема, показывающая контролируемый исходящий трафик для группы безопасности сети и Брандмауэр Azure.

Группы безопасности сети на уровне подсети вычислительных ресурсов ограничивают исходящий трафик. Принудительное туннелирование используется для маршрутизации всего трафика через Брандмауэр Azure. Этот подход помогает обеспечить безопасную и изолированную среду для вычислительных ресурсов, что повышает защиту данных и приложений.

Контрольный список по безопасности

Ознакомьтесь с полным набором рекомендаций.

Контрольный список по безопасности