Применение принципов нулевого доверия к виртуальной сети концентратора в Azure
Сводка. Чтобы применить принципы нулевого доверия к центральной виртуальной сети в Azure, необходимо защитить Брандмауэр Azure Premium, развернуть Службу защиты от атак DDoS Уровня "Стандартный", настроить маршрутизацию сетевого шлюза в брандмауэр и настроить защиту от угроз.
Лучший способ развертывания виртуальной сети концентратора Azure для нулевого доверия — использовать материалы целевой зоны Azure для развертывания виртуальной сети концентратора с полным компонентом, а затем адаптировать ее к конкретным ожиданиям конфигурации.
В этой статье описаны действия по использованию существующей виртуальной сети концентратора и обеспечение готовности к методологии нулевого доверия. Предполагается, что вы использовали модуль ALZ-Bicep hubNetworking для быстрого развертывания виртуальной сети концентратора или развернули другую виртуальную сеть концентратора с аналогичными ресурсами. Использование отдельного концентратора подключения, подключенного к изолированным периферийным периферийным рабочим местам, является шаблоном привязки в безопасной сети Azure и помогает поддерживать принципы нулевого доверия.
В этой статье описывается, как развернуть виртуальную сеть концентратора для нулевого доверия, сопоставив принципы нулевого доверия следующим образом.
Принцип нулевого доверия | Определение | Встречалась |
---|---|---|
Прямая проверка | Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. | Используйте Брандмауэр Azure с проверкой tls для проверки риска и угроз на основе всех доступных данных. |
Использование доступа с минимальными привилегиями | Ограничьте доступ пользователей с помощью технологий JIT/JEA, а также адаптивных политик на основе рисков и средств защиты данных. | У каждой периферийной виртуальной сети нет доступа к другим периферийным виртуальным сетям, если трафик не направляется через брандмауэр. Брандмауэр по умолчанию запрещает только трафик, разрешенный указанными правилами. |
Предполагайте наличие бреши в системе безопасности | Минимизируйте радиус поражения и возможность доступа к сегменту. Используйте сквозное шифрование и аналитику для обеспечения видимости, обнаружения угроз и усиления защиты. | В случае компрометации или нарушения одного приложения или рабочей нагрузки она имеет ограниченную возможность распространяться из-за Брандмауэр Azure выполнения проверки трафика и только перенаправления разрешенного трафика. Только ресурсы в той же рабочей нагрузке будут подвержены нарушению в том же приложении. |
Эта статья является частью серии статей, демонстрирующих применение принципов нулевого доверия в среде в Azure. В этой статье содержатся сведения о настройке виртуальной сети концентратора для поддержки рабочей нагрузки IaaS в периферийной виртуальной сети. Дополнительные сведения см. в разделе "Принципы применения нулевого доверия к Azure IaaS".
Эталонная архитектура
На следующей схеме показана эталонная архитектура. Виртуальная сеть концентратора выделена красным цветом. Дополнительные сведения об этой архитектуре см. в разделе "Принципы применения нулевого доверия к Azure IaaS".
Для этой эталонной архитектуры существует множество способов развертывания ресурсов в подписке Azure. Эталонная архитектура показывает рекомендацию по изоляции всех ресурсов для виртуальной сети концентратора в выделенной группе ресурсов. Ресурсы для периферийной виртуальной сети также отображаются для сравнения. Эта модель хорошо работает, если разные команды отвечают за эти различные области.
На схеме виртуальная сеть концентратора включает компоненты для поддержки доступа к другим приложениям и службам в среде Azure. К этим ресурсам относятся:
- Брандмауэр Azure категории "Премиум"
- Бастион Azure
- VPN-шлюз
- Защита от атак DDOS, которая также должна быть развернута в периферийных виртуальных сетях.
Виртуальная сеть концентратора предоставляет доступ из этих компонентов к приложению на основе IaaS, размещенном на виртуальных машинах в периферийной виртуальной сети.
Рекомендации по организации внедрения облака см. в статье "Управление выравниванием организации" в Cloud Adoption Framework.
Ресурсы, развернутые для виртуальной сети концентратора, :
- Виртуальная сеть Azure
- Брандмауэр Azure с политикой Брандмауэр Azure и общедоступным IP-адресом
- Бастион
- VPN-шлюз с общедоступным IP-адресом и таблицей маршрутов
На следующей схеме показаны компоненты группы ресурсов для виртуальной сети концентратора в подписке Azure, отдельной от подписки для периферийной виртуальной сети. Это один из способов организации этих элементов в подписке. Ваша организация может упорядочить их по-другому.
На схеме:
- Ресурсы для виртуальной сети концентратора содержатся в выделенной группе ресурсов. Если вы развертываете план DDoS Azure, необходимо включить его в группу ресурсов.
- Ресурсы в периферийной виртуальной сети содержатся в отдельной выделенной группе ресурсов.
В зависимости от развертывания можно также отметить, что может быть развертывание массива для зон Частная зона DNS, используемых для разрешения Приватный канал DNS. Они используются для защиты ресурсов PaaS с помощью частных конечных точек, которые подробно описаны в следующем разделе. Обратите внимание, что он развертывает как VPN-шлюз, так и шлюз ExpressRoute. Возможно, вам не потребуется оба варианта, поэтому вы можете удалить любой из них, который не нужен для вашего сценария или отключить его во время развертывания.
Что такое в этой статье?
В этой статье приведены рекомендации по защите компонентов концентраторной виртуальной сети для принципов нулевого доверия. В следующей таблице описаны рекомендации по защите этой архитектуры.
Шаг | Задача | Применены принципы нулевого доверия |
---|---|---|
1 | Защита Брандмауэр Azure Premium. | Проверка явным образом Использование минимально привилегированного доступа Предполагайте наличие бреши в системе безопасности |
2 | Разверните службу защиты от атак DDoS Azure уровня "Стандартный". | Проверка явным образом Использование минимально привилегированного доступа Предполагайте наличие бреши в системе безопасности |
3 | Настройте маршрутизацию сетевого шлюза в брандмауэр. | Проверка явным образом Использование минимально привилегированного доступа Предполагайте наличие бреши в системе безопасности |
4 | Настройте защиту от угроз. | Предполагайте наличие бреши в системе безопасности |
В рамках развертывания необходимо сделать определенные выборки, которые не являются значениями по умолчанию для автоматизированных развертываний из-за дополнительных затрат. Перед развертыванием необходимо проверить затраты.
Работа концентратора подключения по мере развертывания по-прежнему обеспечивает значительное значение для изоляции и проверки. Если ваша организация не готова нести расходы на эти расширенные функции, вы можете развернуть центр ограниченной функциональности и внести эти корректировки позже.
Шаг 1. Защита Брандмауэр Azure Premium
Брандмауэр Azure Premium играет важную роль в обеспечении безопасности инфраструктуры Azure для нулевого доверия.
В рамках развертывания используйте Брандмауэр Azure Premium. Для этого необходимо развернуть созданную политику управления в качестве политики уровня "Премиум". Переход на Брандмауэр Azure Premium включает в себя повторное восстановление брандмауэра и часто политику. В результате начните с Брандмауэр Azure, если это возможно, или подготовитесь к повторному развертыванию действий для замены существующего брандмауэра.
Почему Брандмауэр Azure Premium?
Брандмауэр Azure Premium предоставляет расширенные функции для проверки трафика. Наиболее важными являются следующие варианты проверки TLS:
- Проверка исходящего ПРОТОКОЛА TLS защищает от вредоносного трафика, который отправляется из внутреннего клиента в Интернет. Это помогает определить, когда клиент был нарушен, и если он пытается отправить данные за пределы сети или установить подключение к удаленному компьютеру.
- Проверка TLS на востоке Запада защищает от вредоносного трафика, отправляемого из Azure в другие части Azure или в сети, отличные от Azure. Это помогает выявить попытки расширения и распространения радиуса взрыва.
- Входящий проверка TLS защищает ресурсы в Azure от вредоносных запросов, поступающих извне сети Azure. Шлюз приложений Azure с Брандмауэр веб-приложений обеспечивает эту защиту.
По возможности следует использовать проверку входящего TLS для ресурсов. Шлюз приложений Azure обеспечивает защиту только для трафика HTTP и HTTPS. Его нельзя использовать для некоторых сценариев, таких как те, которые используют трафик SQL или RDP. Другие службы часто имеют собственные параметры защиты от угроз, которые можно использовать для предоставления явных средств контроля проверки для этих служб. Вы можете просмотреть базовые показатели безопасности для Azure, чтобы понять параметры защиты от угроз для этих служб.
Шлюз приложений Azure не рекомендуется использовать для виртуальной сети концентратора. Вместо этого он должен находиться в периферийной виртуальной сети или выделенной виртуальной сети. Дополнительные сведения см. в статье "Применение принципов нулевого доверия к периферийной виртуальной сети в Azure" и "Сеть нулевого доверия" для веб-приложений.
Эти сценарии имеют конкретные рекомендации по цифровым сертификатам. Подробнее см. на странице Сертификаты Брандмауэра Azure ценовой категории "Премиум".
Без проверки TLS Брандмауэр Azure не имеет видимости в данных, которые передаются в зашифрованном туннелье TLS, и поэтому это менее безопасно.
Например, виртуальный рабочий стол Azure не поддерживает завершение SSL. Чтобы понять, как обеспечить проверку TLS, необходимо ознакомиться с конкретными рабочими нагрузками.
Помимо определенных клиентом правил разрешения и запрета, Брандмауэр Azure по-прежнему может применять фильтрацию на основе аналитики угроз. Фильтрация на основе аналитики угроз использует известные плохие IP-адреса и домены для идентификации трафика, который представляет риск. Эта фильтрация возникает до любых других правил, что означает, что даже если доступ был разрешен определенными правилами, Брандмауэр Azure может остановить трафик.
Брандмауэр Azure Premium также имеет расширенные параметры фильтрации URL-адресов и фильтрации веб-категорий, что позволяет более точно настроить роли.
Вы можете настроить аналитику угроз, чтобы уведомить вас об этом оповещении при возникновении этого трафика, но разрешить его. Однако для нулевого доверия задайте для него значение "Запретить".
Настройка Брандмауэр Azure Premium для нулевого доверия
Чтобы настроить Брандмауэр Azure Premium в конфигурацию нулевого доверия, внесите следующие изменения.
Включите аналитику угроз в режиме оповещения и запрета:
- Перейдите к политике брандмауэра и выберите "Аналитика угроз".
- В режиме аналитики угроз выберите "Оповещение" и "Запретить".
- Выберите Сохранить.
Включение проверки TLS:
- Подготовьте сертификат для хранения в Key Vault или запланируйте автоматическое создание сертификата с помощью управляемого удостоверения. Эти параметры можно просмотреть для Брандмауэр Azure сертификатов Premium, чтобы выбрать вариант для вашего сценария.
- Перейдите к политике брандмауэра и выберите проверку TLS.
- Щелкните Включено.
- Выберите управляемое удостоверение для создания сертификатов или выберите хранилище ключей и сертификат.
- Затем выберите Сохранить.
Включите систему обнаружения и предотвращения вторжений (IDPS):
- Перейдите к политике брандмауэра и выберите поставщики удостоверений.
- Выберите "Оповещение" и "Запретить".
- Затем выберите Применить.
Затем необходимо создать правило приложения для трафика.
- В политике брандмауэра перейдите к правилам приложений.
- Щелкните Добавить коллекцию правил.
- Создайте правило приложения с источником подсети Шлюз приложений и назначением доменного имени защищенного веб-приложения.
- Убедитесь, что вы включите проверку TLS.
Дополнительная настройка
Настроив Брандмауэр Azure Premium, теперь можно выполнить следующую конфигурацию:
- Настройте Шлюз приложений для маршрутизации трафика в Брандмауэр Azure, назначив соответствующие таблицы маршрутов и следуя этим рекомендациям.
- Создайте оповещения для событий и метрик брандмауэра, следуя этим инструкциям.
- Разверните книгу Брандмауэр Azure для визуализации событий.
- При необходимости настройте фильтрацию URL-адресов и веб-категорий. Так как Брандмауэр Azure по умолчанию запрещается, эта конфигурация необходима только в том случае, если Брандмауэр Azure необходимо предоставить исходящий доступ к Интернету широко. Это можно использовать в качестве дополнительной проверки, чтобы определить, должны ли быть разрешены подключения.
Шаг 2. Развертывание защиты от атак DDoS Azure уровня "Стандартный"
В рамках развертывания необходимо развернуть стандартную политику защиты от атак DDoS Azure. Это повышает защиту нулевого доверия, предоставляемую на платформе Azure.
Так как вы можете развернуть созданную политику в существующих ресурсах, эту защиту можно добавить после первоначального развертывания, не требуя повторного развертывания ресурсов.
Почему Защита от атак DDoS Azure standard?
Защита от атак DDoS Azure уровня "Стандартный" повышает преимущества по сравнению с защитой от атак DDoS по умолчанию. Для нулевого доверия можно использовать следующее:
- Доступ к отчетам по устранению рисков, журналам потоков и метрикам.
- Политики устранения рисков на основе приложений.
- Доступ к поддержке быстрого реагирования DDoS при возникновении атаки DDoS.
Хотя автоматическое обнаружение и автоматическое устранение рисков являются частью DDoS Protection Basic, которая включена по умолчанию, эти функции доступны только в DDoS Standard.
Настройка защиты от атак DDoS Azure уровня "Стандартный"
Так как для защиты от атак DDoS уровня "Стандартный" нет конфигураций с нулевым доверием, вы можете следовать определенным руководствам по ресурсу для этого решения:
- Создание плана защиты от атак DDoS
- Настройка оповещений
- Настройка ведения журнала диагностики
- Настройка телеметрии
В текущей версии Защиты от атак DDoS Azure необходимо применить защиту от атак DDoS Azure на виртуальную сеть. Дополнительные инструкции см. в кратком руководстве по DDoS.
Кроме того, защитите следующие общедоступные IP-адреса:
- общедоступные IP-адреса Брандмауэр Azure
- Общедоступные IP-адреса Бастиона Azure
- Общедоступные IP-адреса шлюза сети Azure
- Шлюз приложений общедоступные IP-адреса
Шаг 3. Настройка маршрутизации сетевого шлюза в брандмауэр
После развертывания необходимо настроить таблицы маршрутов в различных подсетях, чтобы убедиться, что трафик между периферийными виртуальными сетями и локальными сетями проверяется Брандмауэр Azure. Это действие можно выполнить в существующей среде без необходимости повторного развертывания, но необходимо создать необходимые правила брандмауэра, чтобы разрешить доступ.
Если вы настраиваете только одну сторону, либо только периферийные подсети или подсети шлюза, то у вас есть асинхронная маршрутизация, которая предотвращает работу подключений.
Почему маршрутизировать трафик сетевого шлюза в брандмауэр?
Ключевым элементом нулевого доверия является не предполагается, что только потому, что что-то находится в вашей среде, что оно должно иметь доступ к другим ресурсам в вашей среде. Конфигурация по умолчанию часто разрешает маршрутизацию между ресурсами в Azure в локальные сети, контролируемые только группами безопасности сети.
Путем маршрутизации трафика в брандмауэр вы увеличиваете уровень проверки и повышаете безопасность вашей среды. Вы также оповещены о подозрительном действии и можете предпринять действия.
Настройка маршрутизации шлюза
Существует два основных способа, чтобы обеспечить маршрутизацию трафика шлюза в брандмауэр Azure:
- Разверните сетевой шлюз Azure (для ПОДКЛЮЧЕНИй VPN или ExpressRoute) в выделенной виртуальной сети (часто называемой виртуальной сетью транзита или шлюза), пиринговую сеть в центральной виртуальной сети, а затем создайте широкое правило маршрутизации сетевых пространств Azure в брандмауэр.
- Разверните сетевой шлюз Azure в виртуальной сети концентратора, настройте маршрутизацию в подсети шлюза, а затем настройте маршрутизацию в подсетях периферийной виртуальной сети.
В этом руководстве описан второй вариант, так как он более совместим с эталонной архитектурой.
Примечание.
Диспетчер виртуальная сеть Azure — это служба, которая упрощает этот процесс. Если эта служба общедоступна, она используется для управления маршрутизацией.
Настройка маршрутизации подсети шлюза
Чтобы настроить таблицу маршрутов подсети шлюза для пересылки внутреннего трафика в Брандмауэр Azure, создайте и настройте новую таблицу маршрутов:
Перейдите к созданию таблицы маршрутов в Microsoft портал Azure.
Поместите таблицу маршрутов в группу ресурсов, выберите регион и укажите имя.
Щелкните Просмотр и создание, а затем Создать.
Перейдите к новой таблице маршрутов и выберите "Маршруты".
Выберите " Добавить " и добавьте маршрут в одну из периферийных виртуальных сетей:
- В имени маршрута укажите имя поля маршрута.
- Выберите IP-адреса в раскрывающемся списке назначения префикса адреса.
- Укажите адресное пространство периферийной виртуальной сети в поле диапазонов IP-адресов назначения или CIDR.
- Выберите виртуальное устройство в раскрывающемся списке типа следующего прыжка.
- Укажите частный IP-адрес Брандмауэр Azure в поле адреса следующего прыжка.
- Выберите Добавить.
Связывание таблицы маршрутов с подсетью шлюза
- Перейдите к подсетям и выберите "Связать".
- Выберите виртуальную сеть Концентратора в раскрывающемся списке "Виртуальная сеть ".
- Выберите шлюзSubnet в раскрывающемся списке подсети .
- Нажмите ОК.
Рассмотрим пример.
Теперь шлюз перенаправит трафик, предназначенный для периферийных виртуальных сетей, в Брандмауэр Azure.
Настройка маршрутизации периферийной подсети
В этом процессе предполагается, что у вас уже есть таблица маршрутов, подключенная к подсетям периферийной виртуальной сети, с маршрутом по умолчанию для пересылки трафика в Брандмауэр Azure. Это чаще всего достигается правилом, которое пересылает трафик для диапазона CIDR 0.0.0.0/0, часто называется четырехнулевым маршрутом.
Рассмотрим пример.
Этот процесс отключает распространение маршрутов из шлюза, что позволяет маршруту по умолчанию принимать трафик, предназначенный для локальных сетей.
Примечание.
Ресурсы, такие как Шлюз приложений, для которых требуется доступ к функциям через Интернет, не должны получать эту таблицу маршрутов. Они должны иметь собственную таблицу маршрутов, чтобы разрешить свои необходимые функции, такие как то, что описано в статье "Сеть нулевого доверия для веб-приложений с Брандмауэр Azure и Шлюз приложений".
Чтобы настроить маршрутизацию периферийной подсети, выполните приведенные действия.
- Перейдите в таблицу маршрутов, связанную с подсетью, и выберите "Конфигурация".
- Для параметра распространения маршрутов шлюза выберите вариант Нет.
- Выберите Сохранить.
Теперь маршрут по умолчанию перенаправит трафик, предназначенный для шлюза, в Брандмауэр Azure.
Шаг 4. Настройка защиты от угроз
Microsoft Defender для облака может защитить виртуальную сеть концентратора, созданную в Azure, как и другие ресурсы из ИТ-среды, работающей в Azure или локальной среде.
Microsoft Defender для облака — это служба управления posture Cloud Security (CSPM) и Cloud Workload Protection (CWP), которая предлагает систему оценки безопасности, которая помогает вашей компании создавать ИТ-среду с лучшей безопасностью. Она также включает функции для защиты сетевой среды от угроз.
В этой статье подробно не рассматриваются Microsoft Defender для облака. Однако важно понимать, что Microsoft Defender для облака работает на основе политик Azure и журналов, которые он получает в рабочей области Log Analytics.
Политики Azure в нотации объектов JavaScript (JSON) записываются для проведения различных анализа свойств ресурсов Azure, включая сетевые службы и ресурсы. Тем не менее, Microsoft Defender для облака легко проверить свойство в сетевом ресурсе и предоставить рекомендацию вашей подписке, если вы защищены или подвержены угрозе.
Как проверить все сетевые рекомендации, доступные через Microsoft Defender для облака
Чтобы просмотреть все политики Azure, предоставляющие сетевые рекомендации, используемые Microsoft Defender для облака:
Откройте Microsoft Defender для облака, выбрав значок Microsoft Defender для облака в меню слева.
Выберите параметры среды.
Выберите политику безопасности.
При выборе в ASC Default вы сможете просмотреть все доступные политики, включая политики, которые оценивают сетевые ресурсы.
Кроме того, существуют сетевые ресурсы, оцененные другими нормативными требованиями, включая PCI, ISO и тест безопасности облака Майкрософт. Вы можете включить любой из них и отслеживать рекомендации по сети.
Рекомендации по сети
Выполните следующие действия, чтобы просмотреть некоторые из сетевых рекомендаций на основе теста безопасности microsoft cloud security:
Откройте Microsoft Defender для облака.
Выберите соответствие нормативным требованиям.
Выберите microsoft cloud security benchmark.
Разверните NS. Безопасность сети для проверки рекомендуемого сетевого управления.
Важно понимать, что Microsoft Defender для облака предоставляют другие сетевые рекомендации для различных ресурсов Azure, таких как виртуальные машины и хранилище. Эти рекомендации можно просмотреть в меню слева в разделе "Рекомендации".
В меню слева на портале Microsoft Defender для облака выберите "Оповещения системы безопасности", чтобы просмотреть оповещения на основе сетевых ресурсов, чтобы избежать некоторых типов угроз. Эти оповещения создаются автоматически Microsoft Defender для облака на основе журналов, принятых в рабочей области Log Analytics и отслеживаемых Microsoft Defender для облака.
Сопоставление и защита сетевой среды Azure с помощью Microsoft Defender для облака
Вы также можете проверить параметры, чтобы повысить уровень безопасности, ужесточив сетевую среду без усилий, сопоставив сетевую среду для лучшего понимания топологии сети. Эти рекомендации выполняются с помощью параметра защиты рабочей нагрузки в меню слева, как показано здесь.
Управление политиками Брандмауэр Azure с помощью Microsoft Defender для облака
Брандмауэр Azure рекомендуется использовать для виртуальной сети концентратора, как описано в этой статье. Microsoft Defender для облака может централизованно управлять несколькими политиками Брандмауэр Azure. Помимо политик Брандмауэр Azure вы сможете управлять другими функциями, связанными с Брандмауэр Azure, как показано здесь.
Дополнительные сведения о том, как Microsoft Defender для облака защищает сетевую среду от угроз, см. в статье "Что такое Microsoft Defender для облака?"
Технические иллюстрации
Эти иллюстрации являются репликами эталонных иллюстраций в этих статьях. Скачайте и настройте их для вашей организации и клиентов. Замените логотип Contoso собственным.
Позиция | Description |
---|---|
Скачать Visio Обновлено за октябрь 2024 г. |
Применение принципов нулевого доверия к Azure IaaS Используйте эти иллюстрации со следующими статьями: - Обзор - Служба хранилища Azure - Виртуальные машины - Периферийные виртуальные сети Azure - Виртуальные сети Центра Azure |
Скачать Visio Обновлено за октябрь 2024 г. |
Применение принципов нулевого доверия к Azure IaaS — на одной странице Обзор процесса применения принципов нулевого доверия к средам IaaS Azure. |
Дополнительные технические иллюстрации см. в разделе "Нулевое доверие" для ИТ-архитекторов и разработчиков.
Рекомендуемое обучение
- Настройка Политика Azure
- Проектирование и реализация сетевой безопасности
- Настройка Брандмауэр Azure
- Настройка VPN-шлюз
- Общие сведения о защите от атак DDoS Azure
- Устранение угроз безопасности с помощью Microsoft Defender для облака
Дополнительные сведения о безопасности в Azure см. в каталоге Майкрософт:
Безопасность в Azure | Microsoft Learn
Next Steps
Дополнительные статьи о применении принципов нулевого доверия к Azure см. в следующих статьях:
- Обзор Azure IaaS
- Виртуальный рабочий стол Azure
- Виртуальная глобальная сеть Azure
- Приложения IaaS в Amazon Web Services
- Microsoft Sentinel и XDR в Microsoft Defender
Ссылки
Ознакомьтесь с этими ссылками, чтобы узнать о различных службах и технологиях, упомянутых в этой статье.