Ağ oluşturma (buluta)—Bir mimarın bakış açısı

Makale
07/16/2023

Bu makalede, Microsoft'ta Güvenlik & Uyumluluk Mimarı Ed Fisher, en yaygın tuzaklardan kaçınarak ağınızı bulut bağlantısı için iyileştirmeyi açıklar.

Yazar hakkında

Ed Fisher fotoğrafının ekran görüntüsü.

Şu anda Perakende ve Tüketici Ürünleri ekibimizde Güvenlik & Uyumluluğuna odaklanan Baş Teknik Uzmanım. Son 10 yıldır Office 365 taşınan müşterilerle çalıştım. Dünyanın dört bir yanında milyonlarca kullanıcı dağıtılan devlet kurumları ve kuruluşlara birkaç farklı konumdan oluşan küçük mağazalarla ve aralarında birçok başka müşteriyle çalıştım, çoğunluğu on binlerce kullanıcıya, dünyanın çeşitli yerlerinde birden çok konuma, daha yüksek güvenlik düzeyine ve çok sayıda uyumluluk gereksinimine ihtiyaç duyuyordu. Yüzlerce kuruluşun ve milyonlarca kullanıcının güvenli ve güvenli bir şekilde buluta taşınmasına yardımcı oldu.

Son 25 yıl içinde güvenlik, altyapı ve ağ mühendisliğini içeren bir geçmişe sahip olan ve Microsoft'a katılmadan önce önceki iki işverenimi Office 365 taşıyarak, birçok kez masanın sizin tarafınızda bulundum ve bunun nasıl bir şey olduğunu hatırlıyorum. Hiçbir iki müşteri aynı olmasa da, çoğu benzer gereksinimlere sahiptir ve herhangi bir SaaS veya PaaS platformu gibi standartlaştırılmış bir hizmeti kullanırken en iyi yaklaşımlar aynı olma eğilimindedir.

Ağ değil, bu şekilde kullanıyorsunuz!

Kaç kez olursa olsun, yaratıcı güvenlik ekiplerinin ve ağ ekiplerinin Microsoft bulut hizmetlerine bağlanmaları gerektiğini düşündükleri şekilde çalışmaya nasıl çalıştıkları beni hiçbir zaman şaşırtamıyor. Neyi gerçekleştirmeye çalıştıkları veya bunu yapmanın daha iyi, daha kolay, daha uygun maliyetli ve daha yüksek performanslı yolları hakkında bir konuşmaya katılmak istemeden her zaman bazı güvenlik ilkeleri, uyumluluk standardı veya kullanma konusunda ısrar ettikleri daha iyi bir yol vardır.

Bu tür şeyler bana yükseltildiğinde, genellikle meydan okumayı kabul ederim ve onlara nasıl ve nedenler konusunda yol gösteririm ve onları olmaları gereken yere götürürüm. Ama tamamen açık sözlü olursam, bazen ne yapacaklarını yapmalarına izin vermek istediğimi ve sonunda işe yaramadığını söylediklerinde sana söylediğimi söylemek istediğimi paylaşmalıyım. Bazen bunu yapmak isteyebilirim ama istemiyorum. Yaptığım şey, bu gönderiye neleri dahil edeceğimi açıklamaya çalışmak. Rolünüz ne olursa olsun, kuruluşunuz Microsoft bulut hizmetlerini kullanmak istiyorsa, size yardımcı olabilecek bazı bilgeliklerden yararlanabilirsiniz.

Yol gösteren ilkeler

Burada yaptığımız işlerle ilgili bazı temel kurallarla başlayalım. Gerçek güvenliği korurken en düşük karmaşıklığı ve maksimum performansı sağlamak için bulut hizmetlerine nasıl güvenli bir şekilde bağlanabileceğinizi ele alıyoruz. Siz veya müşteriniz her şey için en sevdiğiniz proxy sunucusunu kullanamayacak olsanız bile, aşağıdakilerden hiçbiri bunların hiçbirine karşı değildir.

Sadece bunu yapasın diye, şu anlama gelmez: Ya da Jurassic Park filminden Dr. Ian Malcolm'un "... Evet, evet, ama güvenlik ekibiniz o kadar meşgul ki.
Güvenlik karmaşıklık anlamına gelmez: Daha fazla para harcadığınız, daha fazla cihaz üzerinden yönlendirdiğiniz veya daha fazla düğmeye tıkladığınız için daha güvenli değilsinizdir.
Office 365 İnternet üzerinden erişilir: Ancak bu, Office 365 İnternet ile aynı şey değildir. Microsoft tarafından yönetilen ve sizin tarafınızdan yönetilen bir SaaS hizmetidir. İnternet'te ziyaret ettiğiniz web sitelerinden farklı olarak, perdenin arkasına göz atabilir ve ilkelerinizi ve uyumluluk standartlarınızı karşılamak için ihtiyacınız olan denetimleri uygulayabilirsiniz, ancak hedeflerinize ulaşabildiğiniz sürece, bunları farklı bir şekilde yapmanız gerekebilir.
Boğma noktaları kötü, yerelleştirilmiş tartışmalar iyidir: Herkes her zaman tüm kullanıcıları için tüm İnternet trafiğini merkezi bir noktaya geri almak ister, bu sayede genellikle bunu izleyebilir ve ilke uygulayabilirler, ancak genellikle tüm konumlarında İnternet erişimi sağlamaktan daha ucuz olduğu için ya da sadece bunu nasıl yaptıklarıdır. Ama bu boğulma noktaları tam olarak... trafiğin boğulduğu yere işaret eder. Kullanıcılarınızın Instagram'a veya akış kedi videolarına göz atmasını engellemenin yanlış bir tarafı yoktur, ancak görev açısından kritik iş uygulaması trafiğinize aynı şekilde davranmayın.
DNS mutlu değilse, hiçbir şey mutlu değilse: En iyi tasarlanmış ağ, dünyanın diğer bölgelerindeki sunuculara istekleri yinelemek veya ISS'nizin DNS sunucularını veya DNS çözümleme bilgilerini önbelleğe alan diğer genel DNS sunucularını kullanmak yoluyla kötü DNS tarafından işlenebilir.
Eskiden böyle yapıyor olmanız, şu anda bunu yapmanız gerektiği anlamına gelmez: Teknoloji sürekli değişir ve Office 365 bir istisna değildir. Şirket içi hizmetler için geliştirilen ve dağıtılan güvenlik önlemlerinin uygulanması veya web'de gezinmeyi denetlemek aynı güvenlik güvencesi düzeyini sağlamaz ve performansı önemli ölçüde olumsuz etkileyebilir.
Office 365 İnternet üzerinden erişilecek şekilde oluşturulmuştu: Özetle bu kadar. Kullanıcılarınız ve uçlarınız arasında ne yapmak isterseniz yapın, trafiğin ağınızdan çıkıp bizim ağımıza girmeden önce İnternet üzerinden geçmesine neden olur. Ağınızdan gelen gecikmeye duyarlı trafiği doğrudan bizimkine yönlendirmek için Azure ExpressRoute kullanıyor olsanız bile İnternet bağlantısı kesinlikle gereklidir. Kabul edin. Fazla düşünme.

Kötü seçimlerin sıklıkla yapıldığı yerler

Güvenlik adına kötü kararların alındığı birçok yer olsa da, müşterilerle en sık karşılaştığım yerler bunlardır. Birçok müşteri konuşması aynı anda bunların tümünü içerir.

Uçta yetersiz kaynak

Çok az müşteri yeşil alan ortamları dağıtıyor ve kullanıcılarının nasıl çalıştığı ve İnternet çıkışlarının nasıl olduğu konusunda yılların deneyimine sahip. Müşterilerin proxy sunucuları olsun veya doğrudan erişime izin versin ve yalnızca NAT giden trafiği olsun, bunu yıllardır yapıyorlar ve geleneksel olarak iç uygulamaları buluta taşırken uçlarından ne kadar daha fazla pompalamaya başlayacaklarını düşünmediler.

Bant genişliği her zaman sorun oluşturur, ancak NAT cihazları artan yükü işlemek için yeterli beygir gücüne sahip olmayabilir ve kaynakları boşaltmak için bağlantıları erken kapatmaya başlayabilir. Office 365 bağlanan istemci yazılımlarının çoğu kalıcı bağlantılar bekler ve Office 365 kullanan bir kullanıcının 32 veya daha fazla eşzamanlı bağlantısı olabilir. NAT cihazı bunları erken bırakıyorsa, artık orada olmayan bağlantıları kullanmaya çalıştıkları için bu uygulamalar yanıt vermemeye başlayabilir. Pes edip yeni bağlantılar kurmaya çalıştıklarında, ağ dişlinize daha da fazla yük bindiriyorlar.

Yerelleştirilmiş tartışma

Bu listedeki diğer her şey, ağınızdan ve bizim ağınızdan mümkün olan en kısa sürede çıkmak gibi tek bir şeye iner. Özellikle bu çıkış noktası kullanıcılarınızdan başka bir bölgedeyse, kullanıcılarınızın trafiğini merkezi bir çıkış noktasına geri döndürmek gereksiz gecikme süresine neden olur ve hem istemci deneyimini hem de indirme hızlarını etkiler. Microsoft, tüm hizmetlerimiz ve neredeyse tüm büyük ISS'ler ile kurulan eşleme için ön uçları olan tüm iletişim noktalarına sahiptir, bu nedenle kullanıcılarınızın trafiğini yerel olarak dışarı yönlendirmek, minimum gecikme süresiyle ağımıza hızlı bir şekilde girilmesini sağlar.

DNS çözümleme trafiği İnternet çıkış yolunu izlemelidir

Tabii ki, bir istemcinin herhangi bir uç noktayı bulması için DNS kullanması gerekir. Microsoft'un DNS sunucuları, isteğin kaynağına en yakın olan yanıtı İnternet terimleriyle döndürmek için DNS isteklerinin kaynağını değerlendirir. DNS'nizin, ad çözümleme isteklerinin kullanıcılarınızın trafiğiyle aynı yoldan gitmesi için yapılandırıldığından emin olun; bu sayede onlara yerel çıkış verirsiniz ancak başka bir bölgedeki bir uç noktaya gidersiniz. Bu, yerel DNS sunucularının uzak veri merkezlerindeki DNS sunucularına iletmek yerine "köke gitmelerine" izin vermek anlamına gelir. Ayrıca genel ve özel DNS hizmetleri için watch, dünyanın bir yerinden gelen sonuçları önbelleğe alabilir ve bunları dünyanın diğer bölgelerinden gelen isteklere sunabilir.

Ara sunucuya veya ara sunucuya değil, asıl soru bu

Dikkate alınması gereken ilk şeylerden biri, kullanıcıların Office 365 bağlantılarını ara sunucuya alıp almamaktır. Bu çok kolay; ara sunucu yapmayın. Office 365 İnternet üzerinden erişilir, ancak İnternet değildir. Bu, temel hizmetlerinizin bir uzantısıdır ve bu şekilde ele alınmalıdır. DLP, kötü amaçlı yazılımdan koruma veya içerik denetimi gibi bir proxy'nin yapmak isteyebileceğiniz her şey hizmette zaten kullanılabilir ve büyük ölçekte ve TLS ile şifrelenmiş bağlantıların kırılmasına gerek kalmadan kullanılabilir. Ancak, başka türlü denetleyemiyorsanız, gerçekten ara sunucu trafiği istiyorsanız, adresinden yönergelerimize https://aka.ms/pnc ve konumundaki https://aka.ms/ipaddrstrafik kategorilerine dikkat edin. Office 365 için üç trafik kategorimiz var. İyileştir ve İzin Ver gerçekten doğrudan gitmeli ve proxy'nizi atlamalıdır. Varsayılan proksid olabilir. Ayrıntılar bu belgelerde... bunları okuyun.

Ara sunucu kullanmakta ısrar eden müşterilerin çoğu, gerçekte ne yaptıklarına baktığında, istemci ara sunucuya HTTP CONNECT isteği yaptığında, proxy'nin artık yalnızca pahalı bir ek yönlendirici olduğunu fark eder. MAPI ve RTC gibi kullanımdaki protokoller, web proxy'lerinin anladığı protokoller bile değildir, bu nedenle TLS'yi kırsa bile fazladan güvenlik elde etmezsiniz. Ek gecikme süresiyle karşılaşıyorsunuz. Microsoft 365 trafiği için İyileştir, İzin Ver ve Varsayılan kategorileri de dahil olmak üzere bu konuda daha fazla bilgi için bkz https://aka.ms/pnc .

Son olarak, bu etkiyle başa çıkmak için ara sunucu üzerindeki genel etkiyi ve buna karşılık gelen yanıtı göz önünde bulundurun. Ara sunucu üzerinden giderek daha fazla bağlantı yapıldığından, tcp ölçek faktörü azaltılabilir, böylece çok fazla trafiği arabelleğe almak zorunda kalmayabilir. Proxy'lerinin aşırı yüklendiği ve 0'lık bir Ölçek Faktörü kullandıkları müşterileri gördüm. Ölçek Faktörü üstel bir değer olduğundan ve 8'i kullanmayı tercih ettiğimizden, Ölçek Faktörü değerindeki her azalma aktarım hızı üzerinde büyük bir olumsuz etki oluşturur.

TLS İnceleme, GÜVENLİk anlamına gelir! Ama gerçekten değil! Proxy'leri olan birçok müşteri tüm trafiği incelemek için bunları kullanmak ister ve bu da TLS'nin "kesme ve inceleme" anlamına gelir. HTTPS üzerinden erişilen bir web sitesi için bunu yaptığınızda (gizlilikle ilgili endişeler olmasa da) proxy'nizin bunu birkaç yüz milisaniye boyunca 10 veya hatta 20 eşzamanlı akış için yapması gerekebilir. Büyük bir indirme veya belki de bir video söz konusuysa, bu bağlantılardan biri veya daha fazlası çok daha uzun sürebilir, ancak tüm bu bağlantıların çoğu çok hızlı bir şekilde kurulur, aktarılır ve kapatılabilir. Kesme ve inceleme yapmak, proxy'nin işi iki katına alması gerektiği anlamına gelir. İstemciden ara sunucuya yapılan her bağlantı için, ara sunucu da uç noktaya ayrı bir bağlantı yapmalıdır. Yani, 1 2 olur, 2 olur 4 olur, 32 64 olur... Nereye gittiğimi görüyor musunuz? Proxy çözümünüzü büyük olasılıkla normal web'de gezinmek için uygun boyutlandırmış olabilirsiniz, ancak Office 365 istemci bağlantıları için de aynı şeyi yapmaya çalıştığınızda eşzamanlı, uzun süreli bağlantı sayısı, boyutlandırdığınız boyuttan daha büyük bir sipariş olabilir.

Akış önemli değildir, ancak önemli değildir

Office 365'da UDP kullanan tek hizmetler Skype (yakında kullanımdan kaldırılacak) ve Microsoft Teams'dir. Teams ses, video ve sunu paylaşımı dahil olmak üzere akış trafiği için UDP kullanır. Akış trafiği, örneğin ses, video ve sunum desteleriyle çevrimiçi toplantı yaparken veya tanıtımlar yaparken canlı olarak gerçekleştirilir. Paketler bırakıldığında veya sıra dışı geldiğinde kullanıcı tarafından neredeyse fark edilemediğinden ve akış devam ettiğinden, bunlar UDP kullanır.

İstemcilerden hizmete giden UDP trafiğine izin vermediğinizde tcp kullanmaya geri dönebilirler. Ancak bir TCP paketi bırakılırsa, Yeniden İletim Zaman Aşımı (RTO) süresi dolana ve eksik paket yeniden aktarılana kadar her şey durur . Bir paket sırayla ulaşırsa, diğer paketler gelene kadar her şey durur ve sırayla yeniden birleştirilebilir. Her ikisi de ses (Max Headroom'u hatırlıyor musunuz?) ve videoda algılanabilir hatalara yol açar (bir şeye tıkladığınızda... oh, işte orada) ve düşük performansa ve kötü bir kullanıcı deneyimine yol açar. Ve proxy'ler hakkında yukarıda ne koyduğumu hatırlıyor musun? Teams istemcisini ara sunucu kullanmaya zorladığınızda, tcp kullanmaya zorlarsınız. Şimdi iki kez olumsuz performans etkisine neden oluyorsunuz.

Bölünmüş tünel korkutucu görünebilir

Ama değil. Office 365 tüm bağlantılar TLS üzerinden yapılır. Uzun süredir TLS 1.2'yi sunuyoruz ve eski istemciler bunları kullanmaya devam ettiğinden eski sürümleri yakında devre dışı bırakacağız ve bu bir risktir.

Bir TLS bağlantısını veya 32'sini hizmete gitmeden önce VPN üzerinden geçmek için zorlamak güvenlik eklemez. Gecikme süresi ekler ve genel aktarım hızını azaltır. Bazı VPN çözümlerinde, UDP'yi TCP üzerinden tünel yapmaya zorlar ve bu da akış trafiğini çok olumsuz etkiler. AYRıCA, TLS denetimi yapmıyorsanız, bunun bir ters tarafı yoktur. İş gücünün çoğu uzak olduğu için müşteriler arasında yaygın olarak kullanılan bir tema, optimize kategorisi Office 365 uç noktalarına erişim için bölünmüş tünel yapılandırmak yerine tüm kullanıcılarının VPN kullanarak bağlanmasını sağlamaktan önemli bant genişliği ve performans etkileri görüyor olmalarıdır.

Bu, bölünmüş tünel oluşturmanın kolay bir düzeltmesi ve bunu yapmanız gerekir. Daha fazla bilgi için VPN bölünmüş tünel kullanarak uzak kullanıcılar için Office 365 bağlantısını iyileştirme'yi gözden geçirin.

Geçmişin günahları

Çoğu zaman, kötü seçimlerin olmasının nedeni (1) hizmetin nasıl çalıştığını bilmemenin, (2) bulutu benimsemeden önce yazılmış şirket ilkelerine uymaya çalışmanın ve (3) hedeflerini gerçekleştirmenin birden fazla yolu olduğuna kolayca ikna edilemeyen güvenlik ekiplerinin birleşiminden kaynaklanmaktadır. Umarım yukarıdakiler ve aşağıdaki bağlantılar ilkinde yardımcı olur. İkinci aşamayı geçmek için yönetici sponsorluğu gerekebilir. Güvenlik ilkelerinin yöntemlerini değil hedeflerini ele almak, üçüncü ilkeye yardımcı olur. Koşullu erişimden içerik denetimine, DLP'den bilgi korumasına, uç nokta doğrulamadan sıfır günlük tehditlere kadar makul bir güvenlik ilkesi, Office 365'da sağlananlarla ve şirket içi ağ dişlisine, zorlamalı VPN tünellerine ve TLS kesme ve incelemeye bağımlılık olmadan gerçekleştirilebilir.

Diğer zamanlarda, kuruluş buluta taşınmaya başlamadan önce boyutlandırılan ve satın alınan donanımlar, yeni trafik düzenlerini ve yüklerini işleyecek şekilde ölçeklendirilemez. Tüm trafiği tek bir çıkış noktası üzerinden yönlendirmeniz ve/veya ara sunucu kullanmanız gerekiyorsa, ağ ekipmanını ve bant genişliğini uygun şekilde yükseltmeye hazır olun. Her ikisinde de kullanımı dikkatle izleyin çünkü deneyim, eklenen kullanıcı sayısı kadar yavaş azalmaz. Devrilme noktasına ulaşılana kadar her şey yolunda, o zaman herkes acı çeker.

Kurallar için özel durumlar

Kuruluşunuz kiracı kısıtlamaları gerektiriyorsa, ara sunucu üzerinden bazı trafiği zorlamak için TLS kesmesi olan bir ara sunucu kullanmanız ve denetlemeniz gerekir, ancak tüm trafiği zorlamanız gerekmez. Bu bir ya hep ya hiç teklifi değildir, bu nedenle proxy tarafından değiştirilmesi gerekenlere dikkat edin.

Bölünmüş tünele izin verecek ancak genel web trafiği için bir ara sunucu da kullanacaksanız, PAC dosyanızın neyin doğrudan gitmesi gerektiğini tanımladığından ve VPN tünelinden geçenler için ilginç trafiği nasıl tanımladığınızdan emin olun. Bunu yönetmeyi kolaylaştıran örnek PAC dosyaları https://aka.ms/ipaddrs sunuyoruz.

Sonuç

Neredeyse tüm Fortune 500 dahil olmak üzere on binlerce kuruluş, görev açısından kritik işlevleri için her gün Office 365 kullanıyor. Bunu güvenli bir şekilde ve İnternet üzerinden yapıyorlar.

Hangi güvenlik hedeflerine sahip olursanız olun, vpn bağlantıları, ara sunucu, TLS kesme ve inceleme gerektirmeyen veya kullanıcılarınızın trafiğini ağınızdan ve bizim ağınızdan olabildiğince hızlı bir şekilde almak için merkezi İnternet çıkışı gerektirmeyen, ağınızın şirket merkezi olması fark etmeksizin en iyi performansı sağlayan yöntemler vardır. bir uzak ofis veya evde çalışan kullanıcı. Kılavuzumuz, Office 365 hizmetlerinin nasıl oluşturulduğuna ve güvenli ve performanslı bir kullanıcı deneyimi sağlamaya dayalıdır.