将零信任原则应用于 Azure 中的中心虚拟网络

项目
04/13/2024

摘要：要将零信任原则应用于 Azure 中的中心虚拟网络，必须保护 Azure 防火墙高级版、部署 Azure DDoS 防护标准版、配置到防火墙的网络网关路由，并配置威胁防护。

要为零信任部署基于 Azure 的中心虚拟网络 (VNet)，建议使用 Azure 登陆区域材料部署功能完整的中心 VNet，然后根据特定的配置预期对其进行定制。

本文章提供了有关如何采用现有中心 VNet 的步骤，并确保已准备好采用零信任方法。其中假定已使用 ALZ-Bicep hubNetworking 模块快速部署中心 VNet，或者已部署具有类似资源的一些其他中心 VNet。使用连接到隔离工作区分支的单独连接中心是 Azure 安全网络中的定位模式，有助于支持零信任原则。

本文章介绍了如何通过以下方式映射零信任原则，为零信任部署中心 VNet。

零信任原则	定义	满足者
显式验证	始终根据所有可用的数据点进行身份验证和授权。	将 Azure 防火墙与传输层安全性 (TLS) 检查配合使用，以根据所有可用数据验证风险和威胁。
使用最低权限访问	使用实时和恰好足够的访问权限 (JIT/JEA)、基于风险的自适应策略和数据保护，来限制用户访问。	除非流量路由通过防火墙，否则每个分支 VNet 都无法访问其他分支 VNet。防火墙默认设置为拒绝，仅允许指定规则允许的流量。
假定数据泄露	最大限度地减少影响范围，并对访问进行分段。验证端对端加密并使用分析来获取可见性、驱动威胁检测并改善防御。	如果应用程序/工作负载被盗用或违规，由于 Azure 防火墙执行流量检查并仅转发允许的流量，因此其传播能力有限。在同一应用程序中，只有同一工作负载中的资源才会有泄漏风险。

本文章是一系列文章中的一部分，该系列演示如何在相应的 Azure 环境中应用零信任原则，该环境包含支持 IaaS 工作负载的中心 VNet。有关详细信息，请参阅将零信任原则应用于 Azure IaaS 概述。

参考体系结构

下图说明了此参考体系结构。中心 VNet 以红色突出显示。有关此体系结构的详细信息，请参阅将零信任原则应用于 Azure IaaS 概述。

对于此参考体系结构，可以通过多种方式跨 Azure 订阅部署资源。参考体系结构显示了用于在专用资源组中隔离中心 VNet 的所有资源的建议。此外，还会显示分支 VNet 的资源以进行比较。如果让不同的团队负责这些不同区域，则此模型非常适合。

在关系图中，中心 VNet 包含诸多组件，用于支持访问 Azure 环境中的其他应用和服务。这些资源包括：

Azure 防火墙高级版
Azure Bastion
VPN 网关
DDOS 保护

可通过中心 VNet 从这些组件访问分支 VNet 中虚拟机上托管的基于 IaaS 的应用。

有关云采用组织的指导，请参阅云采用框架中的管理组织遵循情况。

为中心 VNet 部署的资源包括：

一个 Azure VNet
使用 Azure 防火墙策略和公共 IP 地址的 Azure 防火墙
Bastion
使用公共 IP 地址和路由表的 VPN 网关

下图显示了 Azure 订阅中中心 VNet 的资源组组件，与分支 VNet 的订阅分开。这是在订阅中组织这些元素的一种方式。贵组织可能会选择以其他方式组织这些元素。

在图中：

中心 VNet 的资源包含在专用资源组中。如果要部署 Azure DDoS 计划作为资源的一部分，则需要将该计划包含在资源组中。
分支 VNet 中的资源包含在单独的专用资源组中。

根据不同的部署，你可能还会注意到，可以部署用于专用链接 DNS 解析的一系列专用 DNS 区域。这些区域用于确保具有专用终结点的 PaaS 资源安全，有关详细信息，请参阅后面的章节。请注意，它同时部署 VPN 网关和 ExpressRoute 网关。你可能不需要其中一个网关，因此可以移除方案不需要的网关，或者在部署期间将其关闭。

本文包含哪些内容？

本文包含有关用于确保零信任原则的中心 VNet 组件安全的建议。下表介绍了用于确保此体系结构安全的建议。

步长	任务	已应用零信任原则
1	确保 Azure 防火墙高级版安全。	显式验证使用最低权限访问假定数据泄露
2	Azure DDoS 防护标准。	显式验证使用最低权限访问假定数据泄露
3	配置到防火墙的网络网关路由。	显式验证使用最低权限访问假定数据泄露
4	配置威胁防护。	假定数据泄露

作为部署的一部分，你将希望做出特定的选择，这些选择不是自动部署的默认选择，因为它们会产生额外成本。在部署之前，应查看成本。

在部署时操作连接中心仍会为隔离和检查提供重要价值。如果组织尚未准备好承担这些高级功能的成本，则可以部署缩减的功能中心，稍后进行这些调整。

步骤 1：确保 Azure 防火墙高级版安全:

Azure 防火墙高级版在帮助确保零信任 Azure 基础结构方面发挥了重要作用。

作为部署的一部分，请使用 Azure 防火墙高级版。这要求将生成的管理策略部署为高级策略。切换到 Azure 防火墙高级版涉及重新创建防火墙，通常还涉及重新创建策略。因此，如果可能，请从 Azure 防火墙开始，或准备重新部署活动以替换现有防火墙。

为什么要使用 Azure 防火墙高级版？

Azure 防火墙高级版提供用于检查流量的高级功能。以下 TLS 检查选项最为重要：

出站 TLS 检查防止从内部客户端发送到互联网的恶意流量。这有助于识别客户端何时遭到入侵，以及客户端是否尝试在网络外部发送数据或建立与远程计算机的连接。
东-西 TLS 检查防止从 Azure 内部发送到 Azure 的其他部分或发送到非 Azure 网络的恶意流量。这有助于识别入侵以扩展和扩张其影响范围的企图。
入站 TLS 检查保护 Azure 中的资源免受来自 Azure 网络外部的恶意请求的影响。使用 Azure Web 应用程序防火墙的应用程序网关可提供此保护。

应尽可能对资源使用入站 TLS 检查。 Azure 应用程序网关仅为 HTTP 和 HTTPS 流量提供保护。它无法用于某些场景，例如使用 SQL 或 RDP 流量的场景。其他服务通常有自己的威胁防护选项，可用于为这些服务提供显式验证控制措施。可以查看适用于 Azure 的安全基线概述，了解这些服务的威胁防护选项。

建议不要对中心 VNet 使用 Azure 应用程序网关。该网关应驻留在分支 VNet 或专用 VNet 中。有关详细信息，请参阅在 Azure 中将零信任原则应用于分支虚拟网络，以获取有关分支 VNet 的指导，或适用于 Web 应用程序的零信任网络。

上述场景具有特定的数字证书注意事项。有关详细信息，请参阅 Azure 防火墙高级版证书。

如果没有 TLS 检查，Azure 防火墙将没有对在加密 TLS 隧道中流动的数据的可见性，因此安全性较低。

例如，Azure 虚拟桌面不支持 SSL 终止。应查看特定工作负载，了解如何提供 TLS 检查。

除了客户定义的允许/拒绝规则之外，Azure 防火墙仍能够应用基于威胁情报的筛选。基于威胁情报的筛选使用已知错误的 IP 地址和域来识别存在风险的流量。此筛选在任何其他规则之前发生，这意味着即使定义的规则允许访问，Azure 防火墙也可以阻止流量。

Azure 防火墙高级版还提供了用于 URL 筛选和 Web 类别筛选的增强选项，支持对角色进行更精细的优化。

可以设置威胁情报，以在出现此流量时发出警报，但允许该流量通过。但是对于零信任，将其设置为“拒绝”。

针对零信任配置 Azure 防火墙高级版

要根据零信任配置配置 Azure 防火墙高级版，请进行以下更改。

启用警报和拒绝模式下的威胁情报：
1. 导航到“防火墙策略”，然后选择威胁情报。
2. 在威胁情报模式下，选择警报和拒绝。
3. 选择“保存”。
启用 TLS 检查：
1. 准备证书以存储在密钥保管库中，或计划使用托管标识自动生成证书。可以查看这些选项来Azure 防火墙高级版证书，为方案选择选项。
2. 导航到“防火墙策略”，然后选择 TLS 检查。
3. 选择启用。
4. 选择要生成证书的托管标识，或选择密钥保管库和证书。
5. 再选择“保存” 。
启用入侵检测和防护系统 (IDPS)：
1. 导航到“防火墙策略”，然后选择 IDPS。
2. 选择警报和拒绝。
3. 然后选择应用。
接下来，需要为流量创建应用程序规则。
1. 在“防火墙策略”中，导航至应用程序规则。
2. 选择“添加规则集合”。
3. 使用应用程序网关子网源以及要保护的 Web 应用的域名目标创建应用程序规则。
4. 确保启用 TLS 检查。

其他配置

在配置 Azure 防火墙高级版后，现在可以执行以下配置：

通过分配相应的路由表并遵循本指南，将应用程序网关配置为将流量路由到 Azure 防火墙。
按照以下说明为防火墙事件和指标创建警报。
部署 Azure 防火墙工作簿以可视化事件。
根据需要配置 URL 和 Web 类别筛选。由于 Azure 防火墙默认拒绝，因此仅当 Azure 防火墙需要广泛授予出站 Internet 访问权限时，才需要此配置。但是，使用附加验证可确定连接。

步骤 2：部署 Azure DDoS 防护标准

在部署过程中，需要部署 Azure DDoS 防护标准策略。这会提高 Azure 平台上提供的零信任保护水平。

由于可以将创建的策略部署到现有资源，因此可以在初始部署后添加此保护，而无需重新部署资源。

为什么要使用 Azure DDoS 防护标准版？

Azure DDoS 防护标准版优于默认 DDoS 防护。对于零信任，可以：

访问缓解报告、流日志和指标。
基于应用程序的缓解策略。
在发生 DDoS 攻击时访问 DDoS 快速响应支持。

尽管自动检测和自动缓解都是默认启用的 DDoS 防护基本版的一部分，但这些附加功能仅适用于 DDoS 标准版。

配置 Azure DDoS 防护标准

由于没有适用于 DDoS 防护标准的零信任特定配置，因此可以按照适用于此解决方案的资源特定指南进行操作：

在当前版本的 Azure DDoS 防护中，必须为每个 VNet 应用 Azure DDoS 防护。有关其他说明，请参阅 DDoS 快速入门。

此外，保护以下公共 IP 地址：

Azure 防火墙公共 IP 地址
Azure Bastion 公共 IP 地址
Azure 网络网关公共 IP 地址
应用程序网关公共 IP 地址

步骤 3：配置到防火墙的网络网关路由

在进行部署后，需要在各种子网上配置路由表，以确保 Azure 防火墙检查分支 VNet 与本地网络之间的流量。可以在现有环境中执行此活动，而无需重新部署，但必须创作必要的防火墙规则以允许访问。

如果仅配置一端（仅分支子网或网关子网），则所拥有的异步路由会阻止连接正常运行。

为什么要将网络网关流量路由到防火墙？

零信任的关键元素是认为不要只是因为环境中存在某些内容，而是应该有权访问环境中的其他资源。默认配置通常允许在 Azure 中的资源之间路由到本地网络，仅受网络安全组控制。

通过将流量路由到防火墙，可以提高检查级别并增强环境的安全性。你还会收到可疑活动警报，并且可以采取行动。

配置网关路由

可通过两种主要方式确保网关流量正在路由到 Azure 防火墙：

将 Azure 网络网关（用于 VPN 或 ExpressRoute 连接）部署到专用 VNet（通常称为中转或网关 VNet），将其对等互连到中心 VNet，然后创建涵盖到防火墙的计划 Azure 网络地址空间路由的广泛路由规则。
在中心 VNet 中部署 Azure 网络网关，在网关子网上配置路由，然后在分支 VNet 子网上配置路由。

本指南详述了第二个选项，因为它与参考体系结构更兼容。

注意

Azure Virtual Network Manager 服务可用于简化此过程。在此服务正式发布后，使用该服务来管理路由。

配置网关子网路由

要将网关子网路由表配置为将内部流量转发到 Azure 防火墙，创建并配置新的路由表：

在 Microsoft Azure 门户中导航至创建路由表。
将路由表放置在资源组中，选择区域，然后指定名称。
选择“审阅 + 创建”，然后选择“创建” 。
导航至新的路由表，然后选择路由。
选择添加，然后将路由添加至其中一个分支 VNet：
1. 在路由名称中，指定路由字段的名称。
2. 在地址前缀目标下拉列表中，选择 IP 地址。
3. 在目标 IP 地址/CIDR 范围字段中，提供分支 VNet 的地址空间。
4. 在下一个跃点类型下拉框中，选择虚拟设备。
5. 在下一个跃点地址字段中，提供 Azure 防火墙的专用 IP 地址。
6. 选择添加。

将路由表关联到网关子网

导航到子网，然后选择关联。
在虚拟网络下拉列表中，选择中心 VNet。
在子网下拉列表中，选择 GatewaySubnet。
选择“确定”。

下面是一个示例。

网关现在会将用于分支 VNet 的流量转发到 Azure 防火墙。

配置分支子网路由

此过程假定已将路由表附加到分支 VNet 子网，默认路由将流量转发到 Azure 防火墙。这通常通过相应的规则来实现，该规则会转发 CIDR 范围 0.0.0.0/0（通常称为 quad-zero 路由）的流量。

下面是一个示例。

此过程会禁用来自网关的路由传播，从而支持默认路由将流量定向到本地网络。

注意

需要功能的 Internet 访问权限的资源（如应用程序网关）不应接收此路由表。这些资源应该具有自己的路由表，以允许其必要的功能，如提供 Azure 防火墙和应用程序网关的 Web 应用程序的零信任网络一文所述。

要配置分支子网路由：

导航到与子网关联的路由表，然后选择配置。
对于“传播网关路由”，请选择“否” 。
选择“保存”。

默认路由现在会将用于网关的流量转发到 Azure 防火墙。

步骤 4：配置威胁防护

Microsoft Defender for Cloud 可以保护基于 Azure 构建的中心 VNet，就像在 Azure 上或本地运行的 IT 业务环境中的其他资源一样。

Microsoft Defender for Cloud 是一种云安全态势管理 (CSPM) 和云工作负载保护 (CWP)，所提供的安全功能分数系统可帮助公司构建安全态势更好的 IT 环境。它还包含诸多用于保护网络环境免受威胁的功能。

本文不含有关 Microsoft Defender for Cloud 的详细信息。但是，需要了解 Microsoft Defender for Cloud 在运行时基于 Azure 策略及其在 Log Analytics 工作区中引入的日志。

以 JavaScript 对象表示法 (JSON) 写入 Azure 策略，以保存对 Azure 资源属性的不同分析，包括网络服务和资源。也就是说，Microsoft Defender for Cloud 可以轻松地在网络资源下检查属性，并在受到威胁保护或面临风险时向订阅提供建议。

如何检查通过 Microsoft Defender for Cloud 提供的所有网络建议

要查看提供由 Microsoft Defender for Cloud 使用的网络建议的所有 Azure 策略，请：

在左侧菜单中选择 Microsoft Defender for Cloud 图标，打开 Microsoft Defender for Cloud。
选择环境设置。
选择“安全策略”。
如果在 ASC 默认中进行选择，则可以查看所有可用策略，包括用于评估网络资源的策略。
此外，还存在根据其他法规合规性进行评估的网络资源，这些合规性包括 PCI、ISO 和 Microsoft Cloud 安全基准。可以启用其中任一项并跟踪网络建议。

网络建议

按照以下步骤查看基于 Microsoft Cloud 安全基准的一些网络建议：

打开 Microsoft Defender for Cloud。
选择法规合规性。
选择 Microsoft Cloud 安全基准。
展开 NS. 网络安全性以查看建议的网络控制措施。

需知 Microsoft Defender for Cloud 为虚拟机和存储等不同 Azure 资源提供其他网络建议。可以在左侧菜单中的建议下查看这些建议。

在 Microsoft Defender for Cloud 门户的左侧菜单中，选择安全警报以查看基于网络资源的警报，以避免某些类型的威胁。这些警报由 Microsoft Defender for Cloud 自动生成，具体取决于 Log Analytics 工作区中引入的日志，并由 Microsoft Defender for Cloud 进行监视。

通过 Microsoft Defender for Cloud 映射和强化 Azure 网络环境

还可以检查诸多选项，以通过映射网络环境更好地了解网络拓扑，从而以毫不费力的方式强化网络环境，从而优化安全状况。这些建议通过左侧菜单中的工作负载保护选项完成，如下所示。

通过 Microsoft Defender for Cloud 管理 Azure 防火墙策略

建议对中心 VNet 使用Azure 防火墙，如本文所述。 Microsoft Defender for Cloud 可以集中管理多个 Azure 防火墙策略。除了 Azure 防火墙策略之外，还可以管理与 Azure 防火墙相关的其他功能，如下所示。

通过 Microsoft Defender for Cloud 管理 Azure 防火墙策略的示例屏幕截图。

有关 Microsoft Defender for Cloud 如何保护网络环境免受威胁的详细信息，请参阅什么是 Microsoft Defender for Cloud？

后续步骤

请参阅以下有关将零信任原则应用于 Azure 的其他文章：

技术插图

此海报提供 Azure IaaS 组件的单页概览视图作为参考体系结构和逻辑体系结构，以及确保对这些组件应用了零信任模型的“永不信任，始终验证”原则所需的步骤。

项	说明
PDF \| Visio 更新时间：2024 年 3 月	将此图与以下文章一起使用：将零信任原则应用于 Azure IaaS 概述相关解决方案指南 Azure 存储服务虚拟机分支 VNet

此海报提供适用于 Azure IaaS 的零信任单独组件的参考和逻辑体系结构以及详细配置。将此海报的各页面用于单独的 IT 部门或专业，或者与 Microsoft Visio 版本的文件一起使用，针对基础结构自定义关系图。

项	说明
PDF \| Visio 更新时间：2024 年 3 月	将这些关系图与从此处开始的文章一起使用：将零信任原则应用于 Azure IaaS 概述相关解决方案指南 Azure 存储服务虚拟机分支 VNet

有关其他技术插图，请单击此处。

参考

请参阅以下链接，了解本文所述的各种服务和技术。