Metodtips för nätverkssäkerhet med Azure

I den här artikeln beskrivs en samling metodtips för Azure för att förbättra nätverkssäkerheten. Dessa metodtips härleds från vår erfarenhet av Azure-nätverk och upplevelser för kunder som dig själv.

För varje metodtips förklarar den här artikeln:

• Vad bästa praxis är
• Varför du vill aktivera den bästa metoden
• Vad kan vara resultatet om du inte aktiverar bästa praxis
• Möjliga alternativ till bästa praxis
• Så här kan du lära dig att aktivera bästa praxis

Dessa metodtips baseras på konsensusutlåtanden och Funktioner och funktionsuppsättningar för Azure-plattformen, eftersom de finns när den här artikeln skrevs. Åsikter och tekniker ändras över tid och den här artikeln kommer att uppdateras regelbundet för att återspegla dessa ändringar.

Använda starka nätverkskontroller

Du kan ansluta virtuella Azure-datorer och enheter till andra nätverksenheter genom att placera dem i virtuella Azure-nätverk. Du kan alltså ansluta virtuella nätverkskort till ett virtuellt nätverk för att tillåta TCP/IP-baserad kommunikation mellan nätverksaktiverade enheter. Virtuella datorer som är anslutna till ett virtuellt Azure-nätverk kan ansluta till enheter i samma virtuella nätverk, olika virtuella nätverk, Internet eller dina egna lokala nätverk.

När du planerar ditt nätverk och nätverkets säkerhet rekommenderar vi att du centraliserar:

• Hantering av kärnnätverksfunktioner som ExpressRoute, etablering av virtuella nätverk och undernät samt IP-adressering.
• Styrning av nätverkssäkerhetselement, till exempel virtuella nätverksinstallationsfunktioner som ExpressRoute, etablering av virtuella nätverk och undernät samt IP-adressering.

Om du använder en gemensam uppsättning hanteringsverktyg för att övervaka nätverket och nätverkets säkerhet får du tydlig insyn i båda. En enkel, enhetlig säkerhetsstrategi minskar felen eftersom den ökar den mänskliga förståelsen och automatiseringens tillförlitlighet.

Segmentera undernät logiskt

Virtuella Azure-nätverk liknar LAN i ditt lokala nätverk. Tanken bakom ett virtuellt Azure-nätverk är att du skapar ett nätverk baserat på ett enda privat IP-adressutrymme där du kan placera alla dina virtuella Azure-datorer. Tillgängliga privata IP-adressutrymmen finns i intervallen Klass A (10.0.0.0/8), Klass B (172.16.0.0/12) och Klass C (192.168.0.0/16).

Metodtips för logiskt segmentering av undernät är:

Bästa praxis: Tilldela inte tillåtna regler med breda intervall (till exempel tillåt 0.0.0.0 till 255.255.255.255).
Information: Se till att felsökningsförfaranden avråder från eller förbjuder konfiguration av dessa typer av regler. Dessa tillåtna regler leder till en falsk känsla av säkerhet och hittas ofta och utnyttjas av röda team.

Bästa praxis: Segmentera det större adressutrymmet i undernät.
Information: Använd CIDR-baserade undernätsprinciper för att skapa dina undernät.

Bästa praxis: Skapa nätverksåtkomstkontroller mellan undernät. Routning mellan undernät sker automatiskt och du behöver inte konfigurera routningstabeller manuellt. Som standard finns det inga nätverksåtkomstkontroller mellan de undernät som du skapar i ett virtuellt Azure-nätverk.
Information: Använd en nätverkssäkerhetsgrupp för att skydda mot oönskad trafik till Azure-undernät. Nätverkssäkerhetsgrupper (NSG:er) är enkla, tillståndskänsliga paketinspektionsenheter. NSG:er använder metoden 5 tupplar (käll-IP, källport, mål-IP, målport och layer 4-protokoll) för att skapa regler för att tillåta/neka för nätverkstrafik. Du tillåter eller nekar trafik till och från en enskild IP-adress, till och från flera IP-adresser, eller till och från hela undernät.

När du använder nätverkssäkerhetsgrupper för nätverksåtkomstkontroll mellan undernät kan du placera resurser som tillhör samma säkerhetszon eller roll i sina egna undernät.

Bästa praxis: Undvik små virtuella nätverk och undernät för att säkerställa enkelhet och flexibilitet. Information: De flesta organisationer lägger till fler resurser än vad som ursprungligen planerades och att omplacera adresser är arbetsintensivt. Om du använder små undernät läggs ett begränsat säkerhetsvärde till, och om du mappar en nätverkssäkerhetsgrupp till varje undernät blir det mer omkostnader. Definiera undernät brett för att säkerställa att du har flexibilitet för tillväxt.

Bästa praxis: Förenkla regelhanteringen för nätverkssäkerhetsgrupper genom att definiera programsäkerhetsgrupper.
Information: Definiera en programsäkerhetsgrupp för listor över IP-adresser som du tror kan komma att ändras i framtiden eller användas i många nätverkssäkerhetsgrupper. Se till att ge programsäkerhetsgrupper ett tydligt namn så att andra kan förstå deras innehåll och syfte.

Anta en Nolltillit metod

Perimeterbaserade nätverk utgår från att alla system i ett nätverk kan vara betrodda. Men dagens anställda har åtkomst till organisationens resurser var som helst på olika enheter och appar, vilket gör perimetersäkerhetskontroller irrelevanta. Åtkomstkontrollprinciper som bara fokuserar på vem som kan komma åt en resurs räcker inte. För att hantera balansen mellan säkerhet och produktivitet måste säkerhetsadministratörer också ta hänsyn till hur en resurs används.

Nätverk måste utvecklas från traditionella skydd eftersom nätverk kan vara sårbara för överträdelser: en angripare kan kompromettera en enda slutpunkt inom den betrodda gränsen och sedan snabbt utöka fotfästet i hela nätverket. Nolltillit nätverk eliminerar begreppet förtroende baserat på nätverksplats inom en perimeter. I stället använder Nolltillit-arkitekturer anspråk på enhets- och användarförtroende för att ge åtkomst till organisationsdata och resurser. För nya initiativ bör du anta Nolltillit metoder som validerar förtroende vid tidpunkten för åtkomsten.

Metodtips är:

Bästa praxis: Ge villkorlig åtkomst till resurser baserat på enhet, identitet, säkerhet, nätverksplats med mera.
Information: Med villkorsstyrd åtkomst i Microsoft Entra kan du tillämpa rätt åtkomstkontroller genom att implementera automatiserade beslut om åtkomstkontroll baserat på de nödvändiga villkoren. Mer information finns i Hantera åtkomst till Azure-hantering med villkorsstyrd åtkomst.

Bästa praxis: Aktivera endast portåtkomst efter arbetsflödesgodkännande.
Information: Du kan använda just-in-time-åtkomst till virtuella datorer i Microsoft Defender för molnet för att låsa inkommande trafik till dina virtuella Azure-datorer, minska exponeringen för attacker samtidigt som du enkelt kan ansluta till virtuella datorer när det behövs.

Bästa praxis: Bevilja tillfälliga behörigheter för att utföra privilegierade uppgifter, vilket förhindrar att skadliga eller obehöriga användare får åtkomst när behörigheterna har upphört att gälla. Åtkomst beviljas endast när användare behöver den.
Information: Använd just-in-time-åtkomst i Microsoft Entra Privileged Identity Management eller i en lösning från tredje part för att bevilja behörigheter för att utföra privilegierade uppgifter.

Nolltillit är nästa utveckling inom nätverkssäkerhet. Tillståndet för cyberattacker gör att organisationer använder tänkesättet "anta intrång", men den här metoden bör inte begränsas. Nolltillit nätverk skyddar företagets data och resurser samtidigt som organisationer kan skapa en modern arbetsplats med hjälp av tekniker som gör det möjligt för anställda att vara produktiva när som helst, var som helst, på något sätt.

Kontrollera routningsbeteende

När du placerar en virtuell dator i ett virtuellt Azure-nätverk kan den virtuella datorn ansluta till andra virtuella datorer i samma virtuella nätverk, även om de andra virtuella datorerna finns i olika undernät. Detta är möjligt eftersom en samling systemvägar som är aktiverade som standard tillåter den här typen av kommunikation. Dessa standardvägar gör det möjligt för virtuella datorer i samma virtuella nätverk att initiera anslutningar med varandra och med Internet (endast för utgående kommunikation till Internet).

Även om standardsystemvägarna är användbara för många distributionsscenarier finns det tillfällen då du vill anpassa routningskonfigurationen för dina distributioner. Du kan konfigurera nästa hoppadress för att nå specifika mål.

Vi rekommenderar att du konfigurerar användardefinierade vägar när du distribuerar en säkerhetsinstallation för ett virtuellt nätverk. Vi talar om den här rekommendationen i ett senare avsnitt med titeln skydda dina kritiska Azure-tjänstresurser till endast dina virtuella nätverk.

Kommentar

Användardefinierade vägar krävs inte och standardsystemvägarna fungerar vanligtvis.

Använda virtuella nätverksinstallationer

Nätverkssäkerhetsgrupper och användardefinierad routning kan ge ett visst mått av nätverkssäkerhet i nätverks- och transportskikten i OSI-modellen. Men i vissa situationer vill eller behöver du aktivera säkerhet på höga nivåer i stacken. I sådana situationer rekommenderar vi att du distribuerar säkerhetsinstallationer för virtuella nätverk som tillhandahålls av Azure-partner.

Azure-nätverkssäkerhetsenheter kan ge bättre säkerhet än vad kontroller på nätverksnivå ger. Nätverkssäkerhetsfunktioner för virtuella nätverkssäkerhetsenheter omfattar:

• Brandvägg
• Intrångsidentifiering/intrångsskydd
• Sårbarhetshantering
• Programkontroll
• Nätverksbaserad avvikelseidentifiering
• Webbfiltrering
• Antivirus
• Botnet-skydd

Om du vill hitta tillgängliga säkerhetsinstallationer för virtuella Azure-nätverk går du till Azure Marketplace och söker efter "säkerhet" och "nätverkssäkerhet".

Distribuera perimeternätverk för säkerhetszoner

Ett perimeternätverk (även kallat en DMZ) är ett fysiskt eller logiskt nätverkssegment som ger ett extra säkerhetslager mellan dina tillgångar och Internet. Specialiserade enheter för nätverksåtkomstkontroll i utkanten av ett perimeternätverk tillåter endast önskad trafik till ditt virtuella nätverk.

Perimeternätverk är användbara eftersom du kan fokusera hantering, övervakning, loggning och rapportering av nätverksåtkomstkontroll på enheterna i utkanten av ditt virtuella Azure-nätverk. Ett perimeternätverk är där du vanligtvis aktiverar DDoS-skydd (Distributed Denial of Service), intrångsidentifierings-/intrångsskyddssystem (IDS/IPS), brandväggsregler och principer, webbfiltrering, nätverksprogram mot skadlig kod med mera. Nätverkssäkerhetsenheterna finns mellan Internet och ditt virtuella Azure-nätverk och har ett gränssnitt i båda nätverken.

Även om detta är den grundläggande utformningen av ett perimeternätverk finns det många olika design, till exempel back-to-back, tri-homed och multi-homed.

Baserat på det Nolltillit koncept som nämndes tidigare rekommenderar vi att du överväger att använda ett perimeternätverk för alla högsäkerhetsdistributioner för att förbättra nivån på nätverkssäkerhet och åtkomstkontroll för dina Azure-resurser. Du kan använda Azure eller en tredjepartslösning för att tillhandahålla ett extra säkerhetslager mellan dina tillgångar och Internet:

• Interna Azure-kontroller. Azure Firewall och Azure Web Application Firewall erbjuder grundläggande säkerhetsfördelar. Fördelarna är en helt tillståndskänslig brandvägg som en tjänst, inbyggd hög tillgänglighet, obegränsad skalbarhet i molnet, FQDN-filtrering, stöd för OWASP-kärnregeluppsättningar samt enkel konfiguration och konfiguration.
• Erbjudanden från tredje part. Sök på Azure Marketplace efter nästa generations brandvägg (NGFW) och andra erbjudanden från tredje part som tillhandahåller välbekanta säkerhetsverktyg och förbättrade nivåer av nätverkssäkerhet. Konfigurationen kan vara mer komplex, men ett erbjudande från tredje part kan göra att du kan använda befintliga funktioner och kompetensuppsättningar.

Undvik exponering för Internet med dedikerade WAN-länkar

Många organisationer har valt hybrid-IT-vägen. Med hybrid-IT finns vissa av företagets informationstillgångar i Azure och andra finns kvar lokalt. I många fall körs vissa komponenter i en tjänst i Azure medan andra komponenter finns kvar lokalt.

I ett hybrid-IT-scenario finns det vanligtvis någon typ av anslutning mellan platser. Med anslutningar mellan platser kan företaget ansluta sina lokala nätverk till virtuella Azure-nätverk. Det finns två anslutningslösningar mellan olika platser:

• Plats-till-plats-VPN. Det är en betrodd, tillförlitlig och etablerad teknik, men anslutningen sker via Internet. Bandbredden är begränsad till högst cirka 1,25 Gbit/s. Plats-till-plats-VPN är ett önskvärt alternativ i vissa scenarier.
• Azure ExpressRoute. Vi rekommenderar att du använder ExpressRoute för din lokala anslutning. Med ExpressRoute kan du utöka ditt lokala nätverk till Microsoft-molnet över en privat anslutning som stöds av en anslutningsprovider. Med ExpressRoute kan du upprätta anslutningar till Microsofts molntjänster som Azure, Microsoft 365 och Dynamics 365. ExpressRoute är en dedikerad WAN-länk mellan din lokala plats eller en Microsoft Exchange-värdleverantör. Eftersom det här är en telco-anslutning överförs inte dina data via Internet, så de exponeras inte för de potentiella riskerna med internetkommunikation.

Platsen för din ExpressRoute-anslutning kan påverka brandväggskapaciteten, skalbarheten, tillförlitligheten och nätverkstrafikens synlighet. Du måste identifiera var du ska avsluta ExpressRoute i befintliga (lokala) nätverk. Du kan:

• Avsluta utanför brandväggen (perimeternätverksparadigmet). Använd den här rekommendationen om du behöver insyn i trafiken, om du behöver fortsätta en befintlig metod för att isolera datacenter, eller om du enbart lägger extranätsresurser på Azure.
• Avsluta i brandväggen (paradigmet för nätverkstillägget). Detta är standardrekommendationsen. I alla andra fall rekommenderar vi att du behandlar Azure som ett annat datacenter.

Optimera drifttid och prestanda

Om en tjänst är nere går det inte att komma åt information. Om prestandan är så dålig att data inte går att använda kan du betrakta data som otillgängliga. Ur ett säkerhetsperspektiv måste du göra allt du kan för att se till att dina tjänster har optimal drifttid och prestanda.

En populär och effektiv metod för att förbättra tillgänglighet och prestanda är belastningsutjämning. Belastningsutjämning är en metod för att distribuera nätverkstrafik mellan servrar som ingår i en tjänst. Om du till exempel har klientwebbservrar som en del av tjänsten kan du använda belastningsutjämning för att distribuera trafiken över flera klientwebbservrar.

Den här trafikfördelningen ökar tillgängligheten eftersom om en av webbservrarna blir otillgänglig slutar lastbalanseraren att skicka trafik till servern och omdirigerar den till de servrar som fortfarande är online. Belastningsutjämning hjälper också till med prestanda, eftersom processorn, nätverket och minneskostnaderna för att hantera begäranden fördelas över alla belastningsutjämningsservrar.

Vi rekommenderar att du använder belastningsutjämning när du kan och efter behov för dina tjänster. Följande är scenarier på både den virtuella Azure-nätverksnivån och den globala nivån, tillsammans med alternativ för belastningsutjämning för var och en.

Scenario: Du har ett program som:

• Kräver begäranden från samma användar-/klientsession för att nå samma virtuella serverdelsdator. Exempel på detta är kundvagnsappar och webb-e-postservrar.
• Accepterar endast en säker anslutning, så okrypterad kommunikation till servern är inte ett acceptabelt alternativ.
• Kräver att flera HTTP-begäranden på samma långvariga TCP-anslutning dirigeras eller lastbalanseras till olika serverdelsservrar.

Alternativ för belastningsutjämning: Använd Azure Application Gateway, en HTTP-lastbalanserare för webbtrafik. Application Gateway stöder TLS-kryptering från slutpunkt till slutpunkt och TLS-avslutning på gatewayen. Webbservrar kan sedan avlastas från kryptering och dekrypteringskostnader och trafik som flödar okrypterad till serverdelsservrarna.

Scenario: Du måste belastningsutjämning inkommande anslutningar från Internet bland dina servrar som finns i ett virtuellt Azure-nätverk. Scenarier är när du:

• Ha tillståndslösa program som accepterar inkommande begäranden från Internet.
• Kräv inte klibbiga sessioner eller TLS-avlastning. Sticky-sessioner är en metod som används med belastningsutjämning för program för att uppnå servertillhörighet.

Alternativ för belastningsutjämning: Använd Azure-portalen för att skapa en extern lastbalanserare som sprider inkommande begäranden över flera virtuella datorer för att ge en högre tillgänglighetsnivå.

Scenario: Du behöver belastningsutjämning av anslutningar från virtuella datorer som inte finns på Internet. I de flesta fall initieras de anslutningar som godkänns för belastningsutjämning av enheter i ett virtuellt Azure-nätverk, till exempel SQL Server-instanser eller interna webbservrar.
Alternativ för belastningsutjämning: Använd Azure-portalen för att skapa en intern lastbalanserare som sprider inkommande begäranden över flera virtuella datorer för att ge en högre tillgänglighetsnivå.

Scenario: Du behöver global belastningsutjämning eftersom du:

• Ha en molnlösning som är allmänt distribuerad över flera regioner och som kräver högsta möjliga drifttid (tillgänglighet).
• Du behöver den högsta möjliga drifttiden för att se till att tjänsten är tillgänglig även om ett helt datacenter blir otillgängligt.

Alternativ för belastningsutjämning: Använd Azure Traffic Manager. Traffic Manager gör det möjligt att lastbalansera anslutningar till dina tjänster baserat på användarens plats.

Om användaren till exempel skickar en begäran till din tjänst från EU dirigeras anslutningen till dina tjänster som finns i ett EU-datacenter. Den här delen av Traffic Manager globala belastningsutjämning hjälper till att förbättra prestanda eftersom det går snabbare att ansluta till närmaste datacenter än att ansluta till datacenter som ligger långt borta.

Inaktivera RDP/SSH-åtkomst till virtuella datorer

Det går att komma åt virtuella Azure-datorer med hjälp av Remote Desktop Protocol (RDP) och protokollet Secure Shell (SSH). Dessa protokoll möjliggör hantering av virtuella datorer från fjärranslutna platser och är standard i datacenterberäkning.

Det potentiella säkerhetsproblemet med att använda dessa protokoll via Internet är att angripare kan använda råstyrketekniker för att få åtkomst till virtuella Azure-datorer. När angripare får åtkomst kan de använda den virtuella datorn som en startpunkt för att kompromettera andra datorer i det virtuella nätverket eller till och med attackera nätverksanslutna enheter utanför Azure.

Vi rekommenderar att du inaktiverar direkt RDP- och SSH-åtkomst till dina virtuella Azure-datorer från Internet. När direkt RDP- och SSH-åtkomst från Internet har inaktiverats har du andra alternativ som du kan använda för att komma åt dessa virtuella datorer för fjärrhantering.

Scenario: Gör det möjligt för en enskild användare att ansluta till ett virtuellt Azure-nätverk via Internet.
Alternativ: Punkt-till-plats-VPN är en annan term för en VPN-klient-/serveranslutning för fjärråtkomst. När punkt-till-plats-anslutningen har upprättats kan användaren använda RDP eller SSH för att ansluta till alla virtuella datorer som finns i det virtuella Azure-nätverket som användaren har anslutit till via punkt-till-plats-VPN. Detta förutsätter att användaren har behörighet att nå dessa virtuella datorer.

Punkt-till-plats-VPN är säkrare än direkta RDP- eller SSH-anslutningar eftersom användaren måste autentisera två gånger innan de ansluter till en virtuell dator. Först måste användaren autentisera (och auktoriseras) för att upprätta punkt-till-plats-VPN-anslutningen. För det andra måste användaren autentisera (och ha behörighet) för att upprätta RDP- eller SSH-sessionen.

Scenario: Gör det möjligt för användare i ditt lokala nätverk att ansluta till virtuella datorer i ditt virtuella Azure-nätverk.
Alternativ: Ett plats-till-plats-VPN ansluter ett helt nätverk till ett annat nätverk via Internet. Du kan använda ett plats-till-plats-VPN för att ansluta ditt lokala nätverk till ett virtuellt Azure-nätverk. Användare i ditt lokala nätverk ansluter med hjälp av RDP- eller SSH-protokollet via VPN-anslutningen från plats till plats. Du behöver inte tillåta direkt RDP- eller SSH-åtkomst via Internet.

Scenario: Använd en dedikerad WAN-länk för att tillhandahålla funktioner som liknar plats-till-plats-VPN.
Alternativ: Använd ExpressRoute. Den tillhandahåller funktioner som liknar plats-till-plats-VPN. De största skillnaderna är:

• Den dedikerade WAN-länken passerar inte internet.
• Dedikerade WAN-länkar är vanligtvis stabilare och fungerar bättre.

Skydda dina kritiska Azure-tjänstresurser till endast dina virtuella nätverk

Använd Azure Private Link för att få åtkomst till Azure PaaS Services (till exempel Azure Storage och SQL Database) via en privat slutpunkt i ditt virtuella nätverk. Med privata slutpunkter kan du skydda dina kritiska Azure-tjänstresurser till endast dina virtuella nätverk. Trafik från ditt virtuella nätverk till Azure-tjänsten finns alltid kvar i Microsoft Azure-stamnätverket. Det är inte längre nödvändigt att exponera ditt virtuella nätverk för det offentliga internet för att använda Azure PaaS Services.

Azure Private Link ger följande fördelar:

• Förbättrad säkerhet för dina Azure-tjänstresurser: Med Azure Private Link kan Azure-tjänstresurser skyddas i ditt virtuella nätverk med hjälp av en privat slutpunkt. Att skydda tjänstresurser till en privat slutpunkt i det virtuella nätverket ger bättre säkerhet genom att helt ta bort offentlig Internetåtkomst till resurser och endast tillåta trafik från privat slutpunkt i ditt virtuella nätverk.
• Privat åtkomst till Azure-tjänstresurser på Azure-plattformen: Anslut ditt virtuella nätverk till tjänster i Azure med hjälp av privata slutpunkter. Det finns inget behov av en offentlig IP-adress. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket.
• Åtkomst från lokala och peer-kopplade nätverk: Åtkomst till tjänster som körs i Azure lokalt via privat ExpressRoute-peering, VPN-tunnlar och peer-kopplade virtuella nätverk med privata slutpunkter. Du behöver inte konfigurera ExpressRoute Microsoft-peering eller gå via Internet för att nå tjänsten. Private Link är ett säkert sätt att migrera arbetsbelastningar till Azure.
• Skydd mot dataläckage: En privat slutpunkt mappas till en instans av en PaaS-resurs i stället för hela tjänsten. Konsumenter kan bara ansluta till den specifika resursen. Åtkomst till andra resurser i tjänsten blockeras. Den här mekanismen ger skydd mot dataläckagerisker.
• Global räckvidd: Anslut privat till tjänster som körs i andra regioner. Konsumentens virtuella nätverk kan finnas i region A och kan ansluta till tjänster i region B.
• Enkelt att konfigurera och hantera: Du behöver inte längre reserverade offentliga IP-adresser i dina virtuella nätverk för att skydda Azure-resurser via en IP-brandvägg. Det finns inga NAT- eller gatewayenheter som krävs för att konfigurera de privata slutpunkterna. Privata slutpunkter konfigureras via ett enkelt arbetsflöde. På tjänstsidan kan du också enkelt hantera anslutningsbegäranden på din Azure-tjänstresurs. Azure Private Link fungerar även för konsumenter och tjänster som tillhör olika Microsoft Entra-klienter.

Mer information om privata slutpunkter och de Azure-tjänster och regioner som privata slutpunkter är tillgängliga för finns i Azure Private Link.

Nästa steg

Se Metodtips och mönster för Säkerhet i Azure för mer metodtips för säkerhet som du kan använda när du utformar, distribuerar och hanterar dina molnlösningar med hjälp av Azure.