使用零信任保护网络

项目
04/16/2024

大数据提供了获得新见解和竞争优势的新机会。以往网络已明确定义并通常特定于某个位置，这样的时代即将结束。云、移动设备和其他终结点扩展了边界并改变了模式。现在，不一定存在要保护的受控/定义网络。相反，有大量的设备和网络，它们全都通过云链接到一起。

端到端零信任策略假设漏洞不可避免，而不是认为企业防火墙背后的所有内容都十分安全。这意味着你必须将请求视为源自不受控制的网络，并验证每个请求，标识管理在这其中起着非常重要的作用。

在零信任模型中，保护网络有三个关键目标：

准备好在攻击发生之前处理攻击。
尽可能减少损坏程度及其传播速度。
增加入侵云足迹的难度。

为实现此目的，我们遵循以下三个零信任原则：

显式验证。 始终根据所有可用的数据点进行身份验证和授权，这些数据点包括用户身份、位置、设备运行状况、服务或工作负载、数据分类和异常情况。
使用最小特权访问。 通过实时和最低访问权限 (JIT/JEA)、基于风险的自适应策略和数据保护来限制用户访问权限，从而保护数据并确保高效工作。
假定漏洞。 通过网络、用户、设备和应用程序意识来划分访问权限，尽可能减少漏洞的影响范围，防止横向移动。验证确保所有会话都已端到端加密。使用分析来获取可见性、驱动威胁检测并改善防御。

网络零信任部署目标

在大多数组织开始零信任历程之前，他们的网络安全具有以下特征：

网络安全外围和开放的平面网络很少。
最小威胁防护和静态流量筛选。
未加密的内部流量。

在实施端到端零信任框架以保护网络时，建议首先关注以下初始部署目标：
	I.网络分段：多个入口/出口云微外围和一些微分段。 II.威胁防护：针对已知威胁的云原生筛选和保护。 III.加密：用户到应用内部流量已加密。
完成上述目标后，专注于以下附加部署目标：
	IV.网络分段：完全分布式入口/出口云微外围和更深入的微分段。 V.威胁防护：基于机器学习的威胁防护和使用基于上下文的信号的筛选。 VI.加密：所有流量均已加密。 VII.停用旧式网络安全技术。

网络零信任部署指南

本指南将指导你按照零信任安全框架的原则完成保护网络所需的步骤。

初始部署目标

I. 网络分段：多个入口/出口云微外围和一些微分段

组织的网络入口和出口不应只有单个大管道。相反，在零信任方法中，网络分段为更小的孤岛，其中包含特定工作负载。每个分段具有各自的入口和出口控制，以最大程度减小未经授权的数据访问的影响范围。通过使用精细控制来实现软件定义的外围，可以提高未经授权的行动者在整个网络中传播的难度，从而减少威胁的横向移动。

没有任何体系结构设计能够满足所有组织的需求。你可以在几种常用的设计模式之间进行选择，以根据零信任模型对网络进行分段。

本指南将指导你完成实现其中一种设计所需的步骤：微分段。

通过微分段，组织可以使用软件定义的微外围，从简单的集中式网络外围扩展至全面的分布式分段。

应用程序分区到不同的 Azure 虚拟网络 (VNet)，并使用中心-分支模型连接到一起

中心-分支模型中连接到一起的两个虚拟网络的示意图。

执行以下步骤：

为不同的应用程序和/或应用程序组件创建专用虚拟网络。
创建中央 VNet，以设置应用间连接的安全状况，并在中心-分支体系结构中连接应用 Vnet。
在中心 VNet 中部署 Azure 防火墙，以检查并控制 VNet 之间的流量。

II. 威胁防护：针对已知威胁的云原生过滤和保护

向外部环境（例如 Internet 或本地占用空间）打开了终结点的云应用程序面临来自这些环境的攻击的风险。因此，必须扫描流量以检查其是否存在恶意有效负载或逻辑。

这些类型的威胁分为两大类别：

已知攻击。软件提供商或大型社区已发现的威胁。在这种情况下，攻击签名可用，你需要确保根据这些签名检查每个请求。关键是能够使用任何新发现的攻击快速更新检测引擎。
未知攻击。 这些威胁与任何已知签名都不完全匹配。这些类型的威胁包括请求流量中的零日漏洞和异常模式。检测此类攻击的能力取决于防御措施对正常情况和异常情况的了解程度。防御措施应随着业务（和关联的流量）的发展不断学习并更新此类模式。

若要防范已知威胁，请执行以下步骤：

对于具有 HTTP/S 流量的终结点，使用 Azure Web 应用程序防火墙 (WAF) 进行保护，方法是：
1. 启用默认规则集或 OWASP Top 10 防护规则集，以防范已知的 Web 层攻击
2. 启用机器人防护规则集，以防止恶意机器人抓取信息和执行凭据撞库等。
3. 添加自定义规则，以防范特定于你的企业的威胁。
可以使用以下两个选项之一：
- Azure Front Door
- Azure 应用程序网关
对于所有终结点（无论是否使用 HTTP），使用 Azure 防火墙进行保护，以在第 4 层实施基于威胁情报的筛选：
1. 使用 Azure 门户部署并配置 Azure 防火墙。
2. 为流量启用基于威胁情报的筛选。
提示

了解有关为终结点实施端到端零信任策略的信息。

III. 加密：对用户到应用内部流量进行加密

要关注的第三个初始目标是添加加密功能，以确保对用户到应用内部流量进行加密。

执行以下步骤：

通过使用 Azure Front Door 将 HTTP 流量重定向到 HTTPS，对面向 Internet 的 Web 应用程序强制实施仅 HTTPS 通信。
使用 Azure VPN 网关将远程员工/合作伙伴连接到 Microsoft Azure。
1. 为 Azure VPN 网关服务中的任何点到站点流量启用加密。
通过 Azure Bastion 使用加密通信安全地访问 Azure 虚拟机。
1. 使用 SSH 连接到 Linux 虚拟机。
2. 使用 RDP 连接到 Windows 虚拟机。

提示

了解针对应用程序实施端到端零信任策略的有关信息。

附加部署目标

IV. 网络分段：完全分布式入口/出口云微外围和更深入的微分段

完成三个初始目标后，下一步是进一步对网络进行分段。

将应用组件分区到不同的子网

Azure 区域中服务器的虚拟网络的示意图。

执行以下步骤：

在 VNet 中，添加虚拟网络子网，以使应用程序的离散组件可以具有各自的外围。
应用网络安全组规则，以便仅允许来自应用子组件标识为合法通信对应项的子网的流量。

分段并强制实施外部边界

具有跨边界连接的服务器和设备的示意图。

根据边界类型执行以下步骤：

Internet 边界

如果应用由于需要通过中心 VNet 进行路由而必须建立 Internet 连接，请在中心 VNet 中更新网络安全组规则，以允许建立 Internet 连接。
启用 Azure DDoS 防护标准版，保护中心 VNet 免受容量耗尽网络层攻击。
如果应用程序使用 HTTP/S 协议，请启用 Azure Web 应用程序防火墙，以防范第 7 层威胁。

本地边界

如果应用需要连接到本地数据中心，请使用 Azure VPN 的 Azure ExpressRoute 连接到中心 VNet。
在中心 VNet 中配置 Azure 防火墙，以检查并控制流量。

PaaS 服务边界

使用 Azure 提供的 PaaS 服务（例如，Azure 存储、Azure Cosmos DB 或 Azure Web 应用）时，请使用专用链接连接选项，以确保所有数据交换都通过专用 IP 空间，并且流量永远不会离开 Microsoft 网络。

提示

了解有关为数据实施端到端零信任策略的信息。

V. 威胁防护：基于机器学习的威胁防护和基于上下文的信号筛选

若要进一步提高威胁防护，请启用 Azure DDoS 防护标准版以持续监视 Azure 托管的应用程序流量，使用基于机器学习的框架来设置基准和检测容量耗尽流量淹没，并应用自动缓解措施。

执行以下步骤：

配置并管理 Azure DDoS 防护标准版。
为 DDoS 防护指标配置警报。

VI. 加密：对所有流量进行加密

最后，确保所有流量均已加密，以完成网络保护。

执行以下步骤：

对虚拟网络之间的应用程序后端流量进行加密。
对本地和云之间的流量进行加密：
1. 基于 ExpressRoute Microsoft 对等互连配置站点到站点 VPN。
2. 为 ExpressRoute 专用对等互连配置 IPsec 传输模式。

VII. 停止使用旧的网络安全技术

停止使用基于签名的网络入侵检测/网络入侵防护 (NIDS/NIPS) 系统以及网络数据泄漏/丢失防护 (DLP)。

主要云服务提供商已经可以筛选格式错误的数据包和常见的网络层攻击，因此无需 NIDS/NIPS 解决方案来检测这些对象。此外，传统 NIDS/NIPS 解决方案通常由基于签名的方法（被认为已过时）驱动，容易被攻击者规避且通常会产生较高的误报率。

基于网络的 DLP 在识别无意和有意数据丢失方面逐渐失去效果。原因在于大部分新式协议和攻击者都使用网络级加密进行入站和出站通信。唯一可行的解决方法是“SSL 桥接”，该方法提供可以终止加密网络连接并随后重新建立加密网络连接的“授权中间人”。 SSL 桥接方法已失宠，原因在于运行该解决方案的合作伙伴所需的信任级别以及所使用的技术。

因此，我们提供一劳永逸的建议，即停止使用这些旧的网络安全技术。但是，如果组织在过去感受到这些技术对预防和检测实际攻击具有明显影响，则可以考虑将其移植到云环境中。