你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

通过网格级分段保护和治理工作负载

Azure 防火墙
Azure Monitor
Azure SQL 数据库
Azure 虚拟网络

分段是一种模型,可在该模型中利用网络占用情况,使用 Microsoft Azure 中提供的工具创建软件定义的外围。 然后,设置规则来控制来自/流向这些外围的流量,这样就可以有针对网络不同部分的不同安全态势。 将不同应用程序(或给定应用程序的部件)置于这些外围中时,可以控制这些分段实体之间的通信。 如果应用程序堆栈的一部分遭到入侵,你将能够更好地控制此安全漏洞的影响,防止它通过网络的其余部分进行横向扩展。 此功能是一项与 Microsoft 发布的零信任模型相关联的关键原则,旨在为组织带来一流的安全思维

分段模式

在 Azure 上操作时,可以使用一组广泛且不同的分段选项,这些选项可以让你受到保护。

资源流程图

  1. 订阅:订阅是一种高级构造,该构造提供平台支持的实体间分隔。 它旨在划分公司内大型组织之间的边界。 需要显式预配不同订阅中的资源之间的通信。

  2. 虚拟网络:虚拟网络在专用地址空间的订阅中创建。 这些网络提供网络级资源包含,默认情况下,任何两个虚拟网络之间不允许存在任何流量。 需要显式预配虚拟网络之间的任何通信,这与订阅一样。

  3. 网络安全组 (NSG):NSG 是访问控制机制,用于控制虚拟网络中的资源之间的流量,充当第 4 层防火墙。 NSG 还控制与外部网络(例如 Internet、其他虚拟网络等)发生的流量。 NSG 可以通过为子网、VM 组或者甚至单个虚拟机创建外围,将分段策略细化到粒度级别。

  4. Azure Virtual Network Manager (AVNM):Azure Virtual Network Manager (AVNM) 是一种网络管理服务,核心 IT 管理团队可利用这项服务跨订阅大规模地对虚拟网络进行全局管理。 使用 AVNM,可以对多个虚拟网络进行分组,并强制实施预定义的安全管理规则,这些规则应同时应用于所选虚拟网络。 与 NSG 类似,通过 AVNM 创建的安全管理规则也充当第 4 层防火墙,但首先得到评估的是安全管理规则,然后才是 NSG 规则。

  5. 应用程序安全组 (ASG):ASG 提供的控制机制与 NSG 类似,但使用应用程序上下文进行引用。 利用 ASG 可按应用程序标记对一组 VM 进行分组。 这样可以定义随后将应用于每个基础 VM 的流量规则。

  6. Azure 防火墙:Azure 防火墙是云原生有状态防火墙即服务。 此防火墙可以部署在虚拟网络中,也可以部署在 Azure 虚拟 WAN 中心部署中,以筛选在云资源、Internet 和本地之间流动的流量。 请创建规则或策略(使用 Azure 防火墙或 Azure 防火墙管理器),使用第 3 层或第 7 层控制来指定允许/拒绝流量。 还可使用 Azure 防火墙和第三方来筛选流向 Internet 的流量。 通过第三方安全提供程序来引导部分或所有流量,以便进行高级筛选和用户保护。

从网络角度来看,在 Azure 中组织工作负载时,以下模式很常见。 其中的每种模式都提供不同类型的隔离和连接。 选择哪种模型最适合你的组织是你应该根据组织的需求做出的决策。 对于上述每个模型,我们将介绍如何使用上述 Azure 网络服务来完成分段。

此外,适合组织的设计也可能与此处列出的模式不同。 这是意料之中的事,因为没有一种设计能满足所有需求。 你最终可能会使用这些模式中的原则来创建最适合组织的模式。 Azure 平台提供所需的灵活性和工具。

模式 1:单个虚拟网络

在此模式中,工作负荷的所有组件(在某些情况下为占用的整个 IT 设施)都放在单个虚拟网络中。 如果仅在单个区域操作,则此模式是可行的,因为虚拟网络不能跨多个区域。

最有可能用来在此虚拟网络内创建分段的实体是 NSG 或 ASG。 选择哪一个取决于是要将分段称为网络子网还是应用程序组。 下图展示的是此类分段虚拟网络的示例。

显示单个虚拟网络的示意图。

在此设置中,你使用了 Subnet1 来放置数据库工作负荷,使用了 Subnet2 来放置 Web 工作负荷。 可以设置 NSG,指定 Subnet1 只能与 Subnet2 通信,Subnet2 可以与 Internet 通信。 如果有许多工作负荷,还可以进一步拓展此概念。 例如,可以将子网限制为不允许一个工作负荷与另一个工作负荷的后端通信。

尽管我们使用了 NSG 来说明如何控制子网流量,但你也可通过使用来自 Azure 市场或 Azure 防火墙的网络虚拟化设备来强制实施此分段。

模式 2:多个虚拟网络之间具有对等互连

此模式是上一模式的扩展,在上一模式中,你有多个具有潜在对等互连连接的虚拟网络。 可选择使用此模式将应用程序组合到单独的虚拟网络中,也可能需要应用程序存在于多个 Azure 区域中。 通过虚拟网络获取内置分段,因为必须显式将一个虚拟网络对等互连到另一个虚拟网络才能让它们通信。 (请记住,虚拟网络对等互连连接不可传递。)若要以类似于模式 1 的方式在虚拟网络中进一步分段,请在虚拟网络中使用 NSG/ASG。

显示多虚拟网络模式的示意图。

模式 3:中心辐射型模型中有多个虚拟网络

此模式是一种更高级的虚拟网络组织,在其中,你选择给定区域中的虚拟网络作为该区域中所有其他虚拟网络的中心。 中心虚拟网络及其分支虚拟网络之间的连接是使用 Azure 虚拟网络对等互连实现的。 所有流量都通过中心虚拟网络,此网络可以充当不同区域的其他中心的网关。 在中心设置安全态势,以便中心以可缩放的方式对虚拟网络之间的流量进行分段和控制。 此模式的一个好处是: 安全态势开销不会随着网络拓扑的增长而增长(除非扩展到新的区域)。 此外,此拓扑模式可能替换为 Azure 虚拟 WAN,这样让用户能够将中心虚拟网络作为托管服务进行管理。 若要详细了解引入 Azure 虚拟 WAN 的好处,请参阅中心辐射型虚拟 WAN 体系结构

显示中心辐射型模型的示意图。

建议的 Azure 云原生分段控制是 Azure 防火墙。 Azure 防火墙通过虚拟网络和订阅使用第 3 层到第 7 层控制来控制通信流。 定义通信规则的细节(例如,虚拟网络 X 无法与虚拟网络 Y 通信,但可以与虚拟网络 Z 通信,虚拟网络 X 不与 Internet 通信但对 *.github.com 的访问除外,诸如此类)并以一致方式应用它。 借助 Azure 防火墙管理器,可以跨多个 Azure 防火墙集中管理策略,使 DevOps 团队可以进一步自定义本地策略。 选择 Azure 虚拟 WAN 作为托管中心网络时,还可以使用 Azure 防火墙管理器。

下表对这些模式拓扑进行了比较:

模式 1 模式 2 模式 3
连接性/路由:每个段互相通信的方式 系统路由为任何子网中的任何工作负荷提供默认连接 与模式 1 相同 分支虚拟网络之间没有默认连接。 若要启用连接,需要在中心虚拟网络中使用第 4 层路由器(如 Azure 防火墙)。
网络级别流量筛选 默认情况下允许流量。 NSG/ASG 可用于筛选此模式。 与模式 1 相同 默认情况下,将拒绝分支虚拟网络之间的流量。 Azure 防火墙配置可以启用所选流量,如 windowsupdate.com
集中式日志记录 虚拟网络的 NSG/ASG 日志 跨所有虚拟网络聚合 NSG/ASG 日志 Azure 防火墙日志,针对 Azure Monitor 通过中心发送的所有接受的/拒绝的流量。
意外的开放公共终结点 DevOps 可能会意外地通过不正确的 NSG/ASG 规则打开公共终结点。 与模式 1 相同 在分支虚拟网络中意外打开公共终结点不会启用访问。 将通过有状态防火墙(非对称路由)删除返回数据包。
应用程序级保护 NSG/ASG 仅提供网络层支持。 与模式 1 相同 Azure 防火墙支持针对 HTTP/S 和 MSSQL 的 FQDN 筛选,适用于出站流量,跨虚拟网络。

模式 4:跨多个网络段的多个虚拟网络

此模式说明如何集中管理和保护多个同时跨多个订阅的虚拟网络。 无论虚拟网络是否相互连接或是否属于不同的订阅,在 AVNM 上创建的安全管理规则都可以用一致的方式强制实施基线安全规则。 例如,禁用 SSH 端口 22、RDP 端口 3389 和 Internet 中其他高风险端口,以保护解决方案免受组织内所有虚拟网络中安全漏洞的影响。 有关安全管理规则及其工作原理的详细信息,请参阅 Azure Virtual Network Manager 中的安全管理规则

显示 Azure Virtual Network Manager 的示意图。

虽然 AVNM 是能用最少的网络规则保护整个组织网络的绝佳方案,但除了 AVNM 之外,仍需使用 NSG 和 ASG 对每个虚拟网络应用细化的网络规则。 此过程可能因系统的安全要求而异。

后续步骤

了解有关组件技术的详细信息:

探索相关体系结构: