Стратегии архитектуры для сети и подключения

Это относится к рекомендации по безопасности Azure Well-Architected Framework:

SE:06 Изоляция, фильтрация и управление сетевым трафиком как входящего, так и исходящего трафика. Применение принципов глубинной защиты с помощью локализованных сетевых элементов управления на всех доступных границах сети как на востоке, так и на северо-юге.

В этом руководстве описаны рекомендации по проектированию сети. Основное внимание уделяется элементам управления безопасности, которые могут фильтровать, блокировать и обнаруживать злоумышленников, пересекающих границы сети в различных глубинах архитектуры.

Вы можете укрепить элементы управления удостоверениями, реализуя меры контроля доступа на основе сети. Наряду с контролем доступа на основе удостоверений безопасность сети является высоким приоритетом для защиты ресурсов. Правильные средства управления безопасностью сети могут предоставлять элемент глубинной защиты, который может помочь обнаруживать и содержать угрозы, а также предотвращать получение злоумышленниками доступа к рабочей нагрузке.

Терминология

Срок Определение
Восточный/западный трафик Сетевой трафик, перемещаемый в пределах доверенной границы.
Поток исходящего трафика Исходящий трафик рабочей нагрузки.
Враждебная сеть Сеть, которая не развернута в рамках рабочей нагрузки. Враждебная сеть считается вектором угроз.
Поток входящего трафика Входящий трафик рабочей нагрузки.
Фильтрация сети Механизм, который разрешает или блокирует сетевой трафик на основе указанных правил.
Сегментация сети или изоляция Стратегия, которая разделяет сеть на небольшие изолированные сегменты с элементами управления безопасностью, применяемыми на границах. Этот метод помогает защитить ресурсы от враждебных сетей, таких как Интернет.
Преобразование сети Механизм, который мутирует сетевые пакеты, чтобы скрыть их.
Северный/южный трафик Сетевой трафик, перемещающийся с доверенной границы на внешние сети, которые потенциально враждебны, и наоборот.

Сетевая безопасность использует скрытие для защиты ресурсов рабочей нагрузки от враждебных сетей. Ресурсы, которые находятся за границей сети, скрыты, пока элементы управления границами не помечают трафик как безопасный для перемещения вперед. Проектирование безопасности сети основано на трех основных стратегиях:

  • Сегмент. Этот метод изолирует трафик в отдельных сетях путем добавления границ. Например, трафик к уровню приложений и от него пересекает границу для взаимодействия с другими уровнями, с разными требованиями к безопасности. Слои сегментации реализуют подход глубинной обороны.

    Прежде всего граница безопасности — это сетевой край между приложением и общедоступными сетями. Важно четко определить этот периметр, чтобы установить границу для изоляции враждебных сетей. Элементы управления на этом крае должны быть очень эффективными, так как эта граница является первой линией защиты.

    Виртуальные сети предоставляют логическую границу. По проектированию виртуальная сеть не может взаимодействовать с другой виртуальной сетью, если граница не была намеренно нарушена через пиринг. Ваша архитектура должна воспользоваться этой строгой мерой безопасности, предоставляемой платформой.

    Вы также можете использовать другие логические границы, такие как вырезанные подсети в виртуальной сети. Преимущество подсетей заключается в том, что их можно использовать для группировки ресурсов, находящихся в пределах границы изоляции и имеющих аналогичные гарантии безопасности. Затем можно настроить элементы управления на границе для фильтрации трафика.

  • Фильтр. Эта стратегия помогает гарантировать, что трафик, который входит в границу, ожидается, разрешен и безопасн. С точки зрения нулевого доверия фильтрация явно проверяет все доступные точки данных на уровне сети. Правила можно разместить на границе, чтобы проверить наличие определенных условий.

    Например, на уровне заголовка правила могут проверить, что трафик поступает из предполагаемого местоположения или имеет ожидаемый объем. Но эти проверки недостаточно. Даже если трафик демонстрирует ожидаемые характеристики, полезная нагрузка может оказаться небезопасной. Проверка на наличие ошибок может выявить атаку типа SQL-инъекция.

  • Преобразование. Изменять пакеты на сетевой границе в качестве меры безопасности. Например, можно удалить заголовки HTTP, чтобы устранить риск воздействия. Или вы можете отключить протокол TLS в одной точке сети и восстановить его на другом узле сети с сертификатом, управляемым более строго.

Классификация потоков трафика

Первым шагом в классификации потоков является изучение схемы архитектуры рабочей нагрузки. В схеме определите назначение и характеристики потока с учетом функциональной полезности и операционных аспектов нагрузки. Чтобы классифицировать поток, используйте следующие вопросы:

  • Если рабочая нагрузка должна взаимодействовать с внешними сетями, то какой необходимый уровень близости к этим сетям?

  • Каковы сетевые характеристики потока, такие как ожидаемый протокол и источник и форма пакетов? Существуют ли требования к соответствию на уровне сети?

Существует множество способов классификации потоков трафика. В следующих разделах рассматриваются часто используемые критерии.

Видимость из внешних сетей

  • Публичный Рабочая нагрузка является общедоступной, если его приложение и другие компоненты доступны из общедоступного Интернета. Приложение предоставляется с помощью одного или нескольких общедоступных IP-адресов и серверов системы доменных имен (DNS).

  • Частный. Рабочая нагрузка является частной, если доступ к ней осуществляется только через частную сеть, например виртуальную частную сеть (VPN). Он доступен только через один или несколько частных IP-адресов и потенциально через частный DNS-сервер.

    В частной сети между Интернетом и рабочей нагрузкой нет прямой видимости. Для шлюза можно использовать подсистему балансировки нагрузки или брандмауэр. Эти параметры могут обеспечить гарантии безопасности.

Даже при общедоступных рабочих нагрузках старайтесь сохранять как можно больше нагрузки в частном порядке. Этот подход заставляет пакеты пересекать частную границу при поступлении из общедоступной сети. Шлюз в этом пути может функционировать как точка перехода, выступая в качестве обратного прокси-сервера.

Направление трафика

  • Вход. Входящий трафик — это поток данных, направленный к рабочей нагрузке или ее компонентам. Чтобы защитить входящий трафик, примените предыдущий набор ключевых стратегий. Определите, каков источник трафика, и является ли он ожидаемым, разрешенным и безопасным. Злоумышленники, которые сканируют диапазоны IP-адресов общедоступного поставщика облачных услуг, могут успешно проникать в защиту, если вы не проверяете входящий трафик или реализуете основные меры безопасности сети.

  • Выход. Исходящий трафик — это исходящий трафик, который выходит из рабочей нагрузки или его компонентов. Чтобы проверить правильность исходящего трафика, определитесь, куда направляется трафик, и проверьте, ожидается ли данный пункт назначения, разрешён ли и безопасен ли. Назначение может быть вредоносным или связано с рисками кражи данных.

Схема, показывающая поток сетевого трафика между развертываниями Azure и Интернетом.

Вы также можете определить уровень воздействия, учитывая близость рабочей нагрузки к общедоступному Интернету. Например, платформа приложений обычно обслуживает общедоступные IP-адреса. Компонент нагрузки представляет собой лицо решения.

Область влияния

  • Север-юг. Трафик, который передается между сетью рабочей нагрузки и внешними сетями, — это трафик на север-юг. Этот трафик пересекает границу сети. Внешние сети могут быть общедоступным Интернетом, корпоративной сетью или любой другой сетью, которая находится за пределами вашей области управления.

    Входящий и выходящий трафик могут быть северо-южным.

    В качестве примера рассмотрим поток исходящего трафика топологии центральной сети. Вы можете определить сетевой край рабочей нагрузки, чтобы концентратор был внешней сетью. В этом случае исходящий трафик из виртуальной сети спицы является трафиком с севера на юг. Если учесть сеть концентраторов в пределах вашей сферы контроля, северо-южный трафик распространяется до брандмауэра в центре, потому что следующий прыжок—это Интернет, который потенциально враждебный.

  • Восток-запад. Трафик, который передается внутри сети рабочей нагрузки, — это восточно-западный трафик. Этот тип трафика приводит к тому, что компоненты в рабочей нагрузке взаимодействуют друг с другом. Примером является трафик между уровнями приложения n-уровня. В микрослужбах обмен данными между службами — это трафик на востоке запада.

Чтобы обеспечить многоуровневую защиту, поддерживайте комплексный контроль над механизмами безопасности, которые включены на каждом этапе или используются при пересечении пакетов между внутренними сегментами. Для различных уровней риска требуются различные методы исправления рисков.

Схема, на которую подробно показана защита сети для частного облака.

На предыдущей схеме подробно показана защита сети в частном облаке. На этой схеме граница между общедоступными и частными IP-адресами значительно дальше от рабочей нагрузки, чем на схеме общедоступного облака. Несколько слоев отделяют развертывания Azure от общедоступного IP-адресного пространства.

Примечание.

Удостоверение всегда является основным периметром. Управление доступом должно применяться к сетевым потокам. Используйте управляемые удостоверения при использовании контроля доступа на основе ролей Azure (RBAC) между компонентами вашей сети.

После классификации потоков выполните упражнение сегментации, чтобы определить точки внедрения брандмауэра на путях взаимодействия сегментов сети. При проектировании защиты сети на всех сегментах и всех типах трафика предполагается нарушение на всех точках. Используйте сочетание различных локализованных сетевых элементов управления на всех доступных границах. Дополнительные сведения см. в разделе "Стратегии сегментации".

Применение брандмауэров на границе

Интернет-пограничный трафик — это северо-южный трафик и включает входящий трафик и исходящий трафик. Чтобы обнаруживать или блокировать угрозы, стратегия на границе сети должна устранять как можно больше атак, включая атаки из Интернета и в Интернет.

Для исходящего трафика отправьте весь интернет-трафик через единый брандмауэр , обеспечивающий расширенный надзор, управление и контроль трафика. Для входящего трафика заставить весь трафик из Интернета пройти через сетевое виртуальное устройство (NVA) или брандмауэр веб-приложения.

  • Брандмауэры обычно являются одноэлементными, развернутыми в каждом регионе в организации. В результате они делятся между рабочими нагрузками и принадлежат центральной команде. Убедитесь, что все используемые виртуальные сетевые устройства настроены для поддержки потребностей вашей рабочей нагрузки.

  • Рекомендуется использовать собственные элементы управления Azure как можно больше.

    Помимо собственных элементов управления, вы также можете рассмотреть сетевые сети партнеров, предоставляющие расширенные или специализированные функции. В Azure Marketplace доступны продукты партнерских поставщиков брандмауэров и брандмауэров для веб-приложений.

    Решение об использовании собственных функций в отличие от партнерских решений должно основываться на опыте и требованиях вашей организации.

    Компромисс. Возможности партнеров часто предоставляют расширенные функции, которые могут защитить от сложных, но обычно редких атак. Конфигурация партнерских решений может быть сложной и хрупкой, так как эти решения не интегрируются с контроллерами структуры облака. С точки зрения затрат, собственный контроль предпочтителен, потому что это дешевле, чем партнерские решения.

Любые технологические варианты, которые следует учитывать, должны обеспечивать контроль безопасности и мониторинг для потоков входящего трафика и исходящего трафика. Сведения о параметрах, доступных для Azure, см. в разделе "Безопасность Edge" в этой статье.

Проектирование безопасности виртуальной сети и подсети

Основная цель частного облака заключается в том, чтобы скрыть ресурсы из общедоступного Интернета. Существует несколько способов достижения этой цели:

  • Перейдите к пространствам частных IP-адресов, что можно осуществить с помощью виртуальных сетей. Минимизируйте линию видимости в сети даже в собственных частных сетях.

  • Сведите к минимуму количество общедоступных записей DNS, которые вы используете, чтобы меньше раскрывать вашу рабочую нагрузку.

  • Добавьте контроль параметров входящих и исходящих потоков сети. Не разрешайте недоверенный сетевой трафик.

Стратегия сегментации

Чтобы свести к минимуму видимость сети, сегментируйте сеть и начните с элементов управления сетью с минимальными привилегиями. Если сегмент не является маршрутизируемым, доступ к нему невозможно. Расширьте область, чтобы включить только сегменты, которые должны взаимодействовать друг с другом через сетевой доступ.

Виртуальные сети можно сегментировать, создавая подсети. Критерии разделения должны быть преднамеренными. При сортировке служб внутри подсети убедитесь, что эти службы могут видеть друг друга.

Сегментацию можно основывать на многих факторах. Например, можно разместить различные уровни приложений в выделенных сегментах. Другой подход заключается в планировании подсетей на основе общих ролей и функций, использующих известные протоколы.

Дополнительные сведения см. в разделе "Стратегии сегментации".

Брандмауэры подсетевые

Важно проверить входящий и исходящий трафик каждой подсети. Используйте три основных стратегии, рассмотренные ранее в этой статье. Проверьте, ожидается ли поток, разрешён ли он и безопасен ли. Чтобы проверить эти сведения, определите правила брандмауэра, основанные на протоколе, источнике и назначении трафика.

В Azure вы устанавливаете правила брандмауэра в группах безопасности сети. Дополнительные сведения см. в разделе "Группы безопасности сети" в этой статье.

Пример проектирования подсети см. в Azure Virtual Network subnets.

Использование элементов управления на уровне компонента

После минимизации видимости сети вы можете сопоставить ресурсы Azure с точки зрения сети и оценить потоки. Возможны следующие типы потоков:

  • Запланированный трафик или намеренное взаимодействие между службами в соответствии с архитектурой. Например, вы планируете трафик, когда архитектура рекомендует Azure Functions извлекать сообщения из Служебной шины Azure.

  • Трафик управления или обмен данными, которые происходят в рамках функциональных возможностей службы. Этот трафик не является частью вашего дизайна, и у вас нет контроля над ним. Пример управляемого трафика — обмен данными между службами Azure в архитектуре и плоскости управления Azure.

Различие между запланированным и управляемым трафиком помогает создавать локализованные элементы управления или уровни обслуживания. У вас есть хорошее представление об источнике и пункте назначения на каждом этапе. Особенно понимать, как обеспечивается плоскость управления данными.

В качестве отправной точки определите, предоставляется ли каждая служба в Интернете. Если это так, запланируйте, как ограничить доступ. Если это не так, поместите его в виртуальную сеть.

Брандмауэры служб

Если вы ожидаете, что служба будет предоставляться в Интернете, воспользуйтесь брандмауэром уровня обслуживания, доступным для большинства ресурсов Azure. При использовании этого брандмауэра можно задать правила на основе шаблонов доступа. Дополнительные сведения см. в разделе брандмауэров служб Azure в этой статье.

Примечание.

Если компонент не является службой, используйте брандмауэр на основе узла в дополнение к брандмауэрам на уровне сети. Виртуальная машина — это пример компонента, который не является службой.

Подключение к службам PaaS (платформа как услуга)

Рассмотрите возможность использования частных конечных точек для защиты доступа к службам PaaS. Частная конечная точка получает частный IP-адрес из виртуальной сети. Конечная точка позволяет другим ресурсам в сети взаимодействовать со службой PaaS по частному IP-адресу.

Взаимодействие со службой PaaS достигается с помощью общедоступного IP-адреса службы и записи DNS. Эта связь происходит через Интернет. Вы можете сделать этот обмен данными частным.

Туннель из службы PaaS в одну из подсетей создает частный канал. Все обмен данными происходит с частного IP-адреса компонента в частную конечную точку в этой подсети, которая затем взаимодействует со службой PaaS.

В этом примере изображение слева показывает поток для общедоступных конечных точек. Справа этот поток защищен с помощью частных конечных точек.

Схема, показывая, как частная конечная точка помогает защитить базу данных от пользователей Интернета.

Дополнительные сведения см. в разделе " Частные конечные точки" в этой статье.

Примечание.

Рекомендуется использовать частные конечные точки в сочетании с брандмауэрами служб. Брандмауэр службы блокирует входящий интернет-трафик, а затем предоставляет службу частным пользователям, использующим частную конечную точку.

Еще одним преимуществом использования частных конечных точек является то, что вам не нужно открывать порты в брандмауэре для исходящего трафика. Частные конечные точки блокируют весь исходящий трафик через порт для общедоступного Интернета. Подключение ограничено ресурсами в сети.

Выбор: Azure Private Link — это платная служба, которая имеет счётчики для обработки входящих и исходящих данных. Плата также взимается за частные конечные точки.

Защита от распределённых атак типа "отказ в обслуживании" (DDoS)

Атака DDoS пытается исчерпать ресурсы приложения, чтобы сделать приложение недоступным для законных пользователей. Атаки DDoS могут нацелены на любую конечную точку, доступную в Интернете.

Атака DDoS обычно является массовым, широкомасштабным, географически распределенным злоупотреблением ресурсами вашей системы, что делает его трудно определить и заблокировать источник.

Сведения о поддержке Azure для защиты от этих атак можно найти в разделе Защита от атак DDoS Azure в этой статье.

Упрощение функций Azure

Следующие службы Azure можно использовать для добавления в сеть возможностей глубинной защиты.

Виртуальная сеть Azure

виртуальная сеть помогает ресурсам Azure безопасно взаимодействовать друг с другом, Интернетом и локальными сетями.

По умолчанию все ресурсы в виртуальной сети могут участвовать в исходящем обмене данными с Интернетом. Но входящий обмен данными по умолчанию ограничен.

виртуальная сеть предлагает функции фильтрации трафика. Доступ можно ограничить на уровне виртуальной сети с помощью определяемого пользователем маршрута (UDR) и компонента брандмауэра. На уровне подсети можно фильтровать трафик с помощью групп безопасности сети.

Безопасность периферийных устройств

По умолчанию входящий и исходящий трафик проходит через общедоступные IP-адреса. В зависимости от службы или топологии вы задаете эти адреса или назначаете их Azure. Другие возможности входящего трафика и исходящего трафика включают передачу трафика через подсистему балансировки нагрузки или шлюз преобразования сетевых адресов (NAT). Но эти службы предназначены для распределения трафика и не обязательно для безопасности.

Рекомендуется использовать следующие варианты технологий:

  • Брандмауэр Azure. Вы можете использовать Брандмауэр Azure в пограничной сети и в популярных топологиях сети, таких как сетевые сети с периферийными концентраторами и виртуальными WAN. Обычно вы развертываете Брандмауэр Azure в качестве брандмауэра исходящего трафика, который выступает в качестве окончательного шлюза безопасности перед переходом трафика в Интернет. Брандмауэр Azure может маршрутизировать трафик, использующий протоколы, отличные от HTTP и не HTTPS, такие как протокол удаленного рабочего стола (RDP), протокол Secure Shell (SSH) и протокол ПЕРЕДАЧи файлов (FTP). Набор функций Брандмауэр Azure включает:

    • Преобразование сетевых адресов назначения (DNAT) или перенаправление портов.
    • Сигнатурный метод в системе обнаружения и предотвращения вторжений (IDPS).
    • Правила сети с жесткими уровнями 3 и 4, а также полностью квалифицированными доменными именами (FQDN).

    Примечание.

    Большинство организаций имеют политику принудительного туннелирования, которая заставляет трафик проходить через NVA.

    Если вы не используете топологию виртуальной глобальной сети, необходимо развернуть UDR с NextHopTypeInternet частным IP-адресом NVA. Пользовательские маршруты (UDR) применяются на уровне подсети. По умолчанию трафик между подсетями не проходит через NVA.

    Вы также можете использовать Брандмауэр Azure одновременно для входящего трафика. Он может маршрутизировать трафик HTTP и HTTPS. В более высокоуровневых SKU Брандмауэр Azure предлагает завершение сеанса TLS для реализации проверок на уровне полезных данных.

    Рекомендуется использовать следующие методики.

    • Включите параметры диагностики в Azure Firewall для сбора журналов потока трафика, журналов IDPS и журналов запросов DNS.

    • Будьте как можно более конкретными в правилах.

    • Где это удобно, избегайте тегов службы FQDN. Но при их использовании используйте региональный вариант, позволяющий обмен данными со всеми конечными точками службы.

    • Используйте группы IP для определения источников, которые должны совместно использовать те же правила в течение жизни группы IP. Группы IP-адресов должны отражать стратегию сегментации.

    • Переопределите правило разрешения полного доменного имени инфраструктуры только если для рабочей нагрузки требуется абсолютный контроль исходящего трафика. Переопределение этого правила связано с компромиссом надежности, так как требования платформы Azure изменяются в различных службах.

    Компромисс: Брандмауэр Azure может повлиять на производительность. Порядок правил, количество, проверка TLS и другие факторы могут привести к значительной задержке.

    Кроме того, может повлиять на надежность рабочей нагрузки. Он может столкнуться с исчерпанием портов преобразования сетевых адресов (SNAT). Чтобы устранить эту проблему, добавьте общедоступные IP-адреса по мере необходимости.

    Риск. Для исходящего трафика Azure назначает общедоступный IP-адрес. Это задание может оказать последующее влияние на ваш внешний шлюз безопасности.

  • Azure Брандмауэр веб-приложений. Эта служба поддерживает входящий фильтр и предназначен только для трафика HTTP и HTTPS.

    Он обеспечивает базовую безопасность для распространенных атак, таких как угрозы, которые проект Open Worldwide Application Security (OWASP) идентифицирует в документе OWASP Top 10. Azure Брандмауэр веб-приложений также предоставляет другие функции безопасности, ориентированные на уровень 7, такие как ограничение скорости, правила внедрения SQL и скрипты между сайтами.

    При использовании брандмауэра веб-приложений Azure требуется завершение TLS, так как большинство проверок основаны на полезной нагрузке.

    Вы можете интегрировать Azure Брандмауэр веб-приложений с маршрутизаторами, такими как Шлюз приложений Azure или Azure Front Door. Реализации Брандмауэра веб-приложений Azure для таких маршрутизаторов могут различаться.

Брандмауэр Azure и Azure Брандмауэр веб-приложений не являются взаимоисключающими вариантами. Для решения в области периферийной безопасности представлены различные варианты. Примеры см. в разделе "Брандмауэр" и Шлюз приложений для виртуальных сетей.

Группы безопасности сети

Группа сетевой безопасности — это брандмауэр уровней 3 и 4, применяемый на уровне подсети или сетевой карты. Группы безопасности сети не создаются или применяются по умолчанию.

Правила группы безопасности сети действуют как брандмауэр для остановки трафика, который проходит через периметр подсети. Группа сетевой безопасности имеет набор правил по умолчанию, который чрезмерно разрешает. Например, правила по умолчанию не задают брандмауэр с точки зрения исходящего трафика. Для входа не допускается входящий интернет-трафик.

Чтобы создать правила, начните с набора правил по умолчанию:

  • Для входящего трафика или входящего трафика:
    • Разрешен трафик виртуальной сети из прямых, пиринговых и VPN-шлюзов.
    • Поддерживаются тесты на проверку работоспособности Azure Load Balancer.
    • Все остальные трафик заблокированы.
  • Для исходящего трафика или исходящего трафика:
    • Разрешен трафик виртуальной сети к прямым, одноранговым и VPN-шлюзовым назначениям.
    • Трафик в Интернет разрешен.
    • Все остальные трафик заблокированы.

Затем рассмотрим следующие пять факторов:

  • Протокол
  • Исходный IP-адрес
  • Исходный порт
  • IP-адрес назначения
  • Порт назначения

Отсутствие поддержки FQDN ограничивает функциональные возможности группы безопасности сети. Вам нужно предоставить определенные диапазоны IP-адресов для рабочей нагрузки, и их трудно поддерживать.

Но для служб Azure можно использовать теги служб для суммирование диапазонов IP-адресов источника и назначения. Преимущество безопасности тегов служб заключается в том, что они непрозрачны для пользователя, и ответственность перезагружается в Azure. Вы также можете назначить группу безопасности приложений в качестве типа назначения для маршрутизации трафика. Этот тип именованной группы содержит ресурсы с аналогичными потребностями входящего или исходящего доступа.

Риск. Диапазоны тегов службы очень широки, чтобы они могли соответствовать максимально широкому спектру клиентов. Обновления тегов служб отстают от изменений в службе.

Схема, показывающая изоляцию виртуальной сети по умолчанию с пирингом.

На предыдущем изображении группы безопасности сети применяются в сетевом адаптере. Интернет-трафик и трафик подсети в подсеть запрещены. Группы сетевой безопасности применяются с тегом VirtualNetwork . Таким образом, в этом случае подсети одноранговых сетей имеют прямую линию зрения. Широкое определение тега VirtualNetwork может оказать значительное влияние на безопасность.

При использовании тегов служб используйте региональные версии, например Storage.WestUS вместо Storage. С помощью этого подхода можно ограничить область для всех конечных точек в определенном регионе.

Некоторые теги предназначены исключительно для входящего или исходящего трафика. Другие относятся к обоим типам. Входящие теги обычно разрешают трафик из всех рабочих нагрузок размещения, таких как AzureFrontDoor.Backend, или из Azure для поддержки выполнения служб, таких как LogicAppsManagement. Аналогично, исходящие теги позволяют трафику доступ ко всем рабочим нагрузкам размещения или из Azure для поддержки выполнения служб.

Определите рамки правил как можно полнее. В следующем примере правило имеет определенные значения. Любой другой тип трафика запрещен.

Информация Пример
Протокол Протокол управления передачей (TCP), UDP
Исходный IP-адрес Разрешить вход в подсеть из <диапазона> ip-адресов источника: 4575/UDP
Исходный порт Разрешить вход в подсеть из <тег службы>: 443/TCP
IP-адрес назначения Разрешить исходящий трафик из подсети в <диапазон> ip-адресов назначения: 443/TCP
Порт назначения Разрешить исходящий трафик из подсети в <тег-сервиса>: 443/TCP

Подведение итогов.

  • Будьте точны при создании правил. Разрешить только трафик, необходимый для работы приложения. Отрицать все остальное. Этот подход ограничивает сетевую линию видимости сетевыми потоками, необходимыми для поддержки работы рабочей нагрузки. Поддержка большего объема сетевых потоков, чем необходимо, приводит к ненужным векторам атак и расширяет область поверхности.

    Ограничение трафика не означает, что разрешенные потоки выходят за рамки атаки. Поскольку группы безопасности сети работают на уровнях 3 и 4 модели взаимодействия открытых систем (OSI), они содержат только информацию о форме и направлении. Например, если рабочая нагрузка должна разрешить трафик DNS в Интернет, вы будете использовать группу Internet:53:UDP безопасности сети. В этом случае злоумышленник может вывести данные через протокол UDP по порту 53 к другой службе.

  • Понять, что группы безопасности сети могут немного отличаться друг от друга. Легко пропустить намерение различий. Чтобы обеспечить детализированную фильтрацию, безопаснее создавать дополнительные группы безопасности сети. Настройте по крайней мере одну группу безопасности сети.

  • Используйте политику Azure для управления трафиком в подсетях, у которых нет групп безопасности сети (NSG).

  • Если подсеть поддерживает группы безопасности сети, добавьте группу, даже если она минимально влияет.

Брандмауэры служб Azure

Большинство служб Azure предлагают брандмауэр уровня обслуживания. Эта функция проверяет входящий трафик в службу из указанных диапазонов бесклассовой междоменной маршрутизации (CIDR). Эти брандмауэры предлагают преимущества:

  • Они обеспечивают базовый уровень безопасности.
  • Существует терпимое влияние на производительность.
  • Большинство служб предлагают эти брандмауэры без дополнительных затрат.
  • Брандмауэры генерируют журналы через диагностику Azure, которые могут быть полезны для анализа паттернов доступа.

Но существуют также проблемы безопасности, связанные с этими брандмауэрами, и существуют ограничения, связанные с предоставлением параметров. Например, если вы используете агенты сборки, размещенные Корпорацией Майкрософт, необходимо открыть диапазон IP-адресов для всех агентов сборки, размещенных корпорацией Майкрософт. Затем диапазон становится доступен агенту сборки, другим арендаторам и злоумышленникам, которые могут вредоносно использовать вашу службу.

Если у вас есть шаблоны доступа для службы, которые можно настроить в качестве наборов правил брандмауэра службы, следует включить службу. Вы можете использовать Политика Azure, чтобы включить его. Убедитесь, что вы не включите параметр доверенных служб Azure, если он не включен по умолчанию. Это включает все зависимые службы, которые находятся в рамках правил.

Дополнительные сведения см. в документации по продуктам отдельных служб Azure.

Частные конечные точки

Private Link обеспечивает возможность присвоить инстанцу PaaS частный IP-адрес. Затем служба недоступна через Интернет. Частные конечные узлы не поддерживаются для всех SKU.

При использовании частных конечных точек следует учитывать следующие рекомендации.

  • Настройте службы, привязанные к виртуальным сетям для связи со службами PaaS через частные конечные точки, даже если эти службы PaaS также должны предоставлять общедоступный доступ.

  • Повышение уровня использования групп безопасности сети для частных конечных точек для ограничения доступа к IP-адресам частной конечной точки.

  • Всегда используйте брандмауэры служб при использовании частных конечных точек.

  • Если у вас есть служба, доступная только через частные конечные точки, удалите конфигурацию DNS для своей общедоступной конечной точки.

  • При реализации частных конечных точек учтите проблемы линии прямой видимости. Но также рассмотрите проблемы DevOps и мониторинга.

  • Используйте Политика Azure для принудительной настройки ресурсов.

Недостаток: Номенклатурные позиции службы с частными конечными точками дорогостоящие. Частные конечные точки могут усложнять операции из-за скрытия сети. В архитектуру необходимо добавить автономные агенты, ящики перехода, VPN и другие компоненты.

Управление DNS может быть сложным в распространенных топологиях сети. Возможно, потребуется ввести DNS-серверы пересылки и другие компоненты.

Периметр безопасности сети Azure

Хотя частные конечные точки обеспечивают прямую интеграцию виртуальной сети для служб PaaS, периметр безопасности сети Azure предлагает логическую сетевую изоляцию для служб PaaS за пределами виртуальных сетей. Это полезно, если необходимо группировать связанные службы PaaS в рамках унифицированных политик доступа, не требуя отдельных частных конечных точек для каждой службы.

Например, эту логическую сегментацию можно использовать во всех службах PaaS, поддерживающих определенную рабочую нагрузку или бизнес-единицу. Или реализуйте единые политики периметра для разработки, промежуточной и производственной среды, позволяя соответствующим уровням доступа при сохранении изоляции.

Помните об ограничениях, касающихся ведения журнала, масштабируемости и других аспектов, которые входят в эту функцию. Дополнительные сведения см. в разделе "Ограничения периметра безопасности сети".

Инъекция виртуальной сети

Процесс внедрения виртуальной сети можно использовать для развертывания некоторых служб Azure в сети. Примерами таких служб являются служба приложение Azure, Функции, Azure Управление API и Azure Spring Apps. Этот процесс изолирует приложение от Интернета, систем в частных сетях и других службах Azure. Входящий и исходящий трафик из приложения разрешен или запрещен в зависимости от правил сети.

Бастион Azure

Вы можете использовать Azure Бастион для подключения к виртуальной машине с помощью браузера и портала Azure. Azure Bastion повышает безопасность подключений RDP и SSH. Типичный вариант использования включает подключение к машине-посреднику в той же виртуальной сети или сопряжённой виртуальной сети. Использование Бастиона Azure удаляет необходимость для виртуальной машины иметь общедоступный IP-адрес.

Защита от атак DDoS Azure

Каждое свойство в Azure защищено защитой инфраструктуры DDoS Azure без дополнительных затрат и без дополнительной настройки. Уровень защиты является базовым, но защита имеет высокие пороговые значения. Она также не предоставляет данные телеметрии или оповещения, а также не зависит от рабочей нагрузки.

Более высокий уровень SKU защиты от атак DDoS доступен, но не является бесплатным. Масштаб и емкость глобально развернутой сети Azure обеспечивает защиту от распространенных атак сетевого уровня. Такие технологии, как мониторинг трафика и устранение рисков в режиме реального времени, обеспечивают эту возможность.

Дополнительные сведения см. в обзоре Защиты от атак DDoS Azure.

Пример

Ниже приведены некоторые примеры, демонстрирующие использование сетевых элементов управления, рекомендуемых в этой статье.

ИТ-среда

В этом примере используется среда ИТ-технологий, созданная в базовом плане безопасности (SE:01). Этот подход обеспечивает широкое представление о сетевых элементах управления, применяемых на различных периметрах для ограничения трафика.

Схема, демонстрирующая пример базовой конфигурации безопасности организации с сетевыми элементами управления.

  1. Персонажи сетевых атак. Несколько лиц могут рассматриваться в сетевой атаке, включая администраторов, сотрудников, клиентов и анонимных злоумышленников.

  2. VPN-доступ. Недопустимый субъект может получить доступ к локальной среде через VPN или среду Azure, подключенную к локальной среде через VPN. Настройте с помощью протокола IPSec для обеспечения безопасного взаимодействия.

  3. Общедоступный доступ к приложению. Установите брандмауэр веб-приложения (WAF) перед приложением, чтобы защитить его на седьмом уровне модели OSI.

  4. Доступ к оператору. Удаленный доступ через уровень 4 сетевых уровней OSI должен быть защищен. Рассмотрите возможность использования Azure Firewall с функциями обнаружения и предотвращения вторжений (IDS/IDP).

  5. Защита от атак DDoS. Защита от атак DDoS для всей виртуальной сети.

  6. Топология сети. Топология сети, такая как концентрическо-звёздная, более безопасна и оптимизирует затраты. Сетевая концентраторная архитектура обеспечивает централизованную защиту с помощью брандмауэра для всех соединённых периферийных сегментов.

  7. Частные конечные точки. Рассмотрите возможность добавления общедоступных служб в частную сеть с помощью частных конечных точек. Они создают сетевую карту (NIC) в частном VNet и связываются с службой Azure.

  8. TLS-связь. Защита передаваемых данных путем обмена данными по протоколу TLS.

  9. NSG: защитите сегменты в виртуальной сети (VNet) с помощью NSG, бесплатного ресурса, который фильтрует входящий и исходящий трафик TCP/UDP, учитывая диапазоны IP-адресов и портов. Часть NSG — это группа безопасности приложений (ASG), которая позволяет создавать теги для правил трафика для упрощения управления.

  10. Log Analytics. Ресурсы Azure выдают данные телеметрии, которые используются в Log Analytics, а затем используются с решением SIEM, например Microsoft Sentinel для анализа.

  11. Интеграция Microsoft Sentinel. Log Analytics интегрирован с Microsoft Sentinel и другими решениями, такими как Microsoft Defender для облака.

  12. Microsoft Defender для облака. Microsoft Defender для облака предоставляет множество решений по защите рабочих нагрузок, включая рекомендации по сети для вашей среды.

  13. Аналитика трафика. Используйте аналитику трафика для обнаружения подозрительных или неожиданных шаблонов трафика, идентификации основных источников трафика и получения практически применимых сведений о потенциальных угрозах, неправильных настройках и аномальных потоках. С помощью встроенных запросов можно предотвратить дублирование данных и быстро исследовать трафик по источнику, назначению, протоколу или порту. Эти запросы помогают определить риски безопасности и нарушения политики в среде Azure.

Архитектура для контейнерной рабочей нагрузки

В этом примере архитектуры объединяются сетевые элементы управления, описанные в этой статье. В примере не показана полная архитектура. Вместо этого он фокусируется на элементах управления входящего трафика в частном облаке.

Схема, показывающая управляемый входящий трафик, включая шлюз приложений, группу безопасности сети, Azure Bastion и защиту от атак DDoS Azure.

Шлюз приложений — это подсистема балансировки нагрузки веб-трафика, которую можно использовать для управления трафиком в веб-приложениях. Вы разворачиваете шлюз приложения в специально выделенной подсети с управлением доступом через группы безопасности сети и брандмауэром веб-приложения.

Обмен данными со всеми службами PaaS осуществляется через частные конечные точки. Все конечные точки помещаются в выделенную подсеть. Защита от атак DDoS помогает защитить все общедоступные IP-адреса, настроенные для базового или более высокого уровня защиты брандмауэра.

Управляющий трафик ограничивается с помощью Azure Bastion, который помогает обеспечить безопасное и бесшовное подключение RDP и SSH к виртуальным машинам непосредственно из портала Azure по протоколу TLS. Агенты сборки помещаются в виртуальную сеть, чтобы они имели сетевое представление для рабочих нагрузок, таких как вычислительные ресурсы, реестры контейнеров и базы данных. Этот подход помогает обеспечить безопасную и изолированную среду для агентов сборки, что повышает защиту кода и артефактов.

Схема, показывающая контролируемый исходящий трафик для группы безопасности сети и Брандмауэр Azure.

Группы безопасности сети на уровне подсети вычислительных ресурсов ограничивают исходящий трафик. Принудительное туннелирование используется для маршрутизации всего трафика через Брандмауэр Azure. Этот подход помогает обеспечить безопасную и изолированную среду для вычислительных ресурсов, что повышает защиту данных и приложений.

Контрольный список по безопасности

Ознакомьтесь с полным набором рекомендаций.

Контрольный список по безопасности

  • Last updated on