Giriş bölgesi ağ segmentasyonu için planlama
Bu bölümde, bir ağ Sıfır Güven uygulamasını yönlendirmek için giriş bölgesi içinde yüksek oranda güvenli iç ağ segmentasyonu sağlamak için önemli öneriler incelanmaktadır.
Tasarımla ilgili dikkat edilecek noktalar
Sıfır Güven modeli ihlal edilmiş bir durum olduğunu varsayar ve her isteği kontrolsüz bir ağdan geliyormuş gibi doğrular.
Gelişmiş bir Sıfır Güven ağ uygulaması, tam dağıtılmış giriş ve çıkış bulutu mikro çevrelerini ve daha derin mikro segmentasyonları devreye alır.
Ağ güvenlik grupları (NSG' ler), Hizmet olarak Azure platformu (PaaS) çözümlerine bağlantıyı kolaylaştırmak için Azure hizmet etiketlerini kullanabilir.
Uygulama güvenlik grupları (ASG' ler) sanal ağlar arasında yayılmaz veya koruma sağlamaz.
NSG'nin ekli olduğu bir ağ noktasından akan trafiği incelemek için NSG akış günlüklerini kullanın.
Sanal ağ akış günlükleri , NSG akış günlüklerine benzeyen ancak daha geniş bir kullanım örneğini kapsayan özellikler sağlar. Ayrıca, sanal ağ düzeyinde günlüğe kaydetmeyi etkinleştirebildiğiniz için trafik izleme kapsamını da basitleştirir.
Tasarım önerileri
Giriş bölgesi sahibine alt ağ oluşturma yetkisi verin. Bu, iş yüklerinin alt ağlar arasında (örneğin, tek bir büyük alt ağ, çok katmanlı uygulama veya ağa eklenmiş uygulama) nasıl segmentlere bölüneceğini tanımlamalarını sağlar. Platform ekibi, belirli kurallara (İnternet'ten gelen SSH veya RDP'yi reddetme veya giriş bölgeleri arasında trafiğe izin verme/engelleme gibi) sahip bir NSG'nin her zaman yalnızca reddetme ilkelerine sahip alt ağlarla ilişkilendirildiğinden emin olmak için Azure İlkesi kullanabilir.
NSG'leri kullanarak alt ağlardaki trafiğin yanı sıra platform genelindeki (giriş bölgeleri arasındaki trafik) doğu/batı trafiğinin korunmasına yardımcı olun.
Uygulama ekibi, giriş bölgesi içindeki çok katmanlı VM'lerin korunmasına yardımcı olmak için alt ağ düzeyindeki NSG'lerde uygulama güvenlik gruplarını kullanmalıdır.
Giriş bölgesi içindeki trafiği mikro segmentlere ayırmak için NSG'leri ve uygulama güvenlik gruplarını kullanın ve trafik akışlarını filtrelemek için merkezi bir NVA kullanmaktan kaçının.
Giriş ve çıkış trafik akışları hakkında içgörüler elde etmek için sanal ağ akış günlüklerini etkinleştirin ve trafik analizini kullanın. Windows Server Active Directory etki alanı denetleyicileri veya kritik veri depoları içeren sanal ağlar ve alt ağlar gibi aboneliklerinizdeki tüm kritik sanal ağlarda ve alt ağlarda akış günlüklerini etkinleştirin. Ayrıca olası güvenlik olaylarını algılamak ve araştırmak, uyumluluk ve izleme ve kullanımı iyileştirmek için akış günlüklerini kullanabilirsiniz.
Giriş bölgeleri arasında seçmeli olarak bağlantıya izin vermek için NSG'leri kullanın.
Sanal WAN topolojiler için, kuruluşunuz giriş bölgeleri arasında akan trafik için filtreleme ve günlüğe kaydetme özellikleri gerektiriyorsa trafiği Azure Güvenlik Duvarı aracılığıyla giriş bölgeleri arasında yönlendirin.
Kuruluşunuz şirket içine zorlamalı tünel uygulamaya (varsayılan yolu tanıtmaya) karar verirse, BGP oturumunun bırakılması durumunda sanal ağlardan doğrudan İnternet'e giden trafiği reddetmek için aşağıdaki giden NSG kurallarını eklemenizi öneririz.
Not
Kural önceliklerinin mevcut NSG kural kümenize göre ayarlanması gerekir.
Öncelik | Name | Kaynak | Hedef | Hizmet | Eylem | Açıklama |
---|---|---|---|---|---|---|
100 | AllowLocal |
Any |
VirtualNetwork |
Any |
Allow |
Normal işlemler sırasında trafiğe izin verin. Zorlamalı tünel etkinleştirildiğinde, 0.0.0.0/0 BGP bunu ExpressRoute veya VPN Gateway'e tanıtıyorsa etiketin bir parçası VirtualNetwork olarak kabul edilir. |
110 | DenyInternet |
Any |
Internet |
Any |
Deny |
Yol tanıtılan yollardan geri çekilirse 0.0.0.0/0 (örneğin, bir kesinti veya yanlış yapılandırma nedeniyle) doğrudan İnternet'e giden trafiği reddedin. |
Dikkat
Sanal ağa eklenebilir Azure PaaS hizmetleri, zorlamalı tünelle uyumlu olmayabilir. Denetim düzlemi işlemleri, hizmetin düzgün çalışması için belirli genel IP adreslerine doğrudan bağlantı gerektirebilir. Ağ gereksinimleri için belirli hizmet belgelerini gözden geçirmeniz ve sonunda hizmet alt ağını varsayılan yol yayma işleminin dışında tutması önerilir. UDR'deki Hizmet Etiketleri, yalnızca belirli bir hizmet etiketi varsa varsayılan yolu atlamak ve denetim düzlemi trafiğini yeniden yönlendirmek için kullanılabilir.