应用零信任原则以终止旧式网络安全技术

本文提供有关在 Azure 环境中应用零信任原则以终止旧式网络安全技术的指导。 以下是零信任原则。

零信任原则	定义
显式验证	始终根据所有可用的数据点进行身份验证和授权。
使用最低权限访问	使用实时和恰好足够的访问权限 (JIT/JEA)、基于风险的自适应策略和数据保护，来限制用户访问。
假定数据泄露	最大限度地减少影响范围，并对访问进行分段。 验证端对端加密并使用分析来获取可见性、驱动威胁检测并改善防御。 通过移除或升级旧式网络服务来提高 Azure 环境的防御能力，以提高安全性。

本文是一系列文章中的一篇，演示如何为 Azure 网络应用零信任原则。

需要审阅以终止使用旧式网络安全技术的 Azure 网络领域包括：

• 网络基础服务
• 负载均衡和内容分发服务
• 混合连接服务

从使用旧式网络安全技术的过渡可以阻止攻击者访问环境或跨越环境造成广泛的损害（假设违反零信任原则）。

参考体系结构

下图显示了此零信任指南的参考体系结构，这些指南用于在 Azure 环境中终止使用旧式网络安全技术。

此参考体系结构包括：

• 在 Azure 虚拟机上运行的 Azure IaaS 工作负载。
• Azure 服务。
• 包含 Azure VPN 网关和 Azure 应用程序网关的安全虚拟网络 (VNet)。
• 包含 Azure 负载均衡器的 Internet 边缘 VNet。
• Azure 环境边缘的 Azure Front Door。

本文包含哪些内容？

零信任原则应用于整个参考体系结构中，从 Internet 或本地网络上的用户和管理员到你的 Azure 环境中的用户和管理员。 下表列出了假设泄露零信任原则，在此体系结构中停用旧式网络安全技术的关键任务。

步长	任务
1	审阅网络基础服务。
2	审阅内容传送和负载均衡服务。
3	审阅混合连接服务。

步骤 1：审阅网络基础服务

对网络基础服务的审阅包括：

• 从基本公共 IP SKU 迁移到标准公共 IP SKU。
• 确保虚拟机 IP 地址使用显式出站访问。

此图显示了用于更新参考体系结构中的 Azure 网络基础服务的组件。

基本公共 IP SKU

IP 地址（公共和专用）是 Azure 中 IP 服务的一部分，可实现专用和公共资源之间的通信。 公共 IP 链接到 VNet 网关、应用程序网关和其他需要与 Internet 建立出站连接的服务。 专用 IP 支持在内部实现 Azure 资源之间的通信。

现将基本公共 IP SKU 目前视为旧版，其限制会比标准公共 IP SKU 更多。 基本公共 IP SKU 的零信任的主要限制之一是，不要求使用网络安全组但建议这样用，而其在标准公共 IP SKU 则是必需的。

标准公共 IP SKU 的另一个重要功能是能够选择路由首选项，例如通过 Microsoft 全局网络进行路由。 此功能可尽可能保护 Microsoft 主干网络内的流量，并使出站流量尽可能靠近服务或最终用户。

有关详细信息，请参阅 Azure 虚拟网络 IP 服务。

注意

基本公共 IP SKU 将于 2025 年 9 月停用。

默认出站访问

默认情况下，Azure 会提供对 Internet 的出站访问。 默认情况下，来自资源的连接将通过系统路由和网络安全组的默认出站规则授予。 换句话说，如果未配置显式出站连接方法，Azure 将配置默认的出站访问 IP 地址。 但是，如果没有显式出站访问，则可能会出现某些安全风险。

Microsoft 建议不要将虚拟机 IP 地址暴露给 Internet 流量。 无法控制默认出站 IP 访问和 IP 地址及其依赖项，它们可能会更改。 对于配备多个网络接口卡 (NIC) 的虚拟机，不建议允许所有 NIC IP 地址具有 Internet 出站访问权限。 相反，应仅将访问权限限制为允许必要的 NIC。

Microsoft 建议使用以下选项之一设置显式出站访问：

• Azure NAT 网关

  对于最大源网络地址转换 (SNAT) 端口，Microsoft 建议使用 Azure NAT 网关进行出站连接。

• 标准 SKU Azure 负载均衡器

  这需要负载均衡规则来对 SNAT 进行编程，这可能不会像 Azure NAT 网关一样高效。

• 限制使用公共 IP 地址

  出于可伸缩性和安全性方面的考虑，只有在测试或开发环境中才能为虚拟机分配直接的公共 IP 地址。

步骤 2：审阅内容传送和负载均衡服务

Azure 有许多应用程序传送服务，可帮助你向 Web 应用程序发送和分发流量。 有时，新版本或服务层可改善体验并提供最新更新。 可以使用每个应用程序交付服务中的迁移工具轻松切换到最新版本的服务，并受益于新功能和增强功能。

对内容交付和负载均衡服务的审阅包括：

• 将 Azure Front Door 层级从经典层迁移到高级层或标准层。
• 将 Azure 应用程序网关迁移到 WAF_v2。
• 迁移到标准 SKU Azure 负载均衡器。

此图显示了用于更新 Azure 内容传送和负载均衡服务的组件。

Azure Front Door

Azure Front Door 有三个不同的层：高级层、标准层和经典层。 标准和高级层将 Azure Front Door 经典层、 Azure 内容分发网络以及 Azure Web 应用程序防火墙 (WAF) 中的功能合并到了一个服务中。

Microsoft 建议将经典 Azure Front Door 配置文件迁移到高级层或标准层，以便享受这些新功能和更新。 高级层侧重于改进的安全功能，例如与后端服务的专用连接、Microsoft 托管 WAF 规则和对 Web 应用程序的机器人防护。

除了改进的功能外，Azure Front Door 高级版还包括内置在服务中的安全报告，无需额外付费即可使用。 这些报告可帮助你分析 WAF 安全规则，并查看 Web 应用程序可能面临的攻击类型。 通过安全报告，还可以按不同维度检查指标，从而帮助你了解流量来自何处，并按条件细分热门事件。

Azure Front Door 高级层在客户端和 Web 应用程序之间提供最可靠的 Internet 安全措施。

Azure 应用程序网关

Azure 应用程序网关有两种 SKU 类型：v1 和 v2，以及可应用于任一 SKU 的 WAF 版本。 Microsoft 建议将 Azure 应用程序网关迁移到 WAF_v2 SKU，以便受益于性能升级和新增功能，例如自动缩放、自定义 WAF 规则和对 Azure 专用链接的支持。

自定义 WAF 规则允许指定条件来评估通过 Azure 应用程序网关的每个请求。 这些规则的优先级高于托管规则集中的规则，可以自定义以满足应用程序和安全要求的需求。 自定义 WAF 规则还可以通过将 IP 地址与国家/地区代码匹配来限制对 Web 应用程序的访问。

迁移到 WAFv2 的另一个好处是，当从另一个 VNet 或其他订阅访问时，可以通过 Azure 专用链接服务连接到 Azure 应用程序网关。 此功能允许阻止对 Azure 应用程序网关的公共访问，同时仅允许用户和设备通过专用终结点进行访问。 使用 Azure 专用链接连接时，必须批准每个专用终结点连接，这可确保只有正确的实体可以进行访问。 有关 v1 和 v2 SKU 之间的差异的详细信息，请参阅 Azure 应用程序网关 v2。

Azure 负载均衡器

鉴于计划于 2025 年 9 月停用基本公共 IP SKU，需要升级使用基本公共 IP SKU IP 地址的服务。 Microsoft 建议将当前的基本 SKU Azure 负载均衡器迁移到标准 SKU Azure 负载均衡器，以实现基本 SKU 中不包括的安全措施。

使用标准 SKU Azure 负载均衡器时，默认情况下你是安全的。 除非已应用网络安全组的规则允许，否则会阻止发送到公共负载均衡器的所有入站 Internet 流量。 此默认行为可防止在准备好之前意外允许 Internet 流量发往虚拟机或服务，并确保你能够控制可以访问资源的流量。

标准 SKU Azure 负载均衡器使用 Azure 专用链接创建专用终结点连接，这在想要允许对负载均衡器后面的资源进行专用访问，但又希望用户从其环境中访问它的情况下非常有用。

步骤 3：审阅混合连接服务

审阅混合连接服务包括对 Azure VPN 网关使用新一代 SKU。

此图显示了用于更新参考体系结构中的 Azure 混合连接服务的组件。

目前，在 Azure 中连接混合网络的最有效方法是使用 Azure VPN 网关的新一代 SKU。 虽然你可以继续使用经典 VPN 网关，但这些网关已过时、不更可靠且效率较低。 经典 VPN 网关最多支持 10 个 Internet 协议安全性 (IPsec) 隧道，而较新的 Azure VPN 网关 SKU 最多可以扩展到 100 个隧道。

较新的 SKU 会在较新的驱动程序模型中运行，并包含最新的安全软件更新。 较旧的驱动程序模型则基于不适合新式工作负荷的过时 Microsoft 技术。 较新的驱动程序模型不仅会提供卓越的性能和硬件，还提供增强的复原能力。 AZ 组 SKU VPN 网关可以定位在可用性区域中，并支持具有多个公共 IP 地址的主动-主动连接，从而增强复原能力并提供改进的灾难恢复选项。

此外，对于动态路由需求，经典 VPN 网关无法运行边界网关协议 (BGP)，它仅使用 IKEv1，并且不支持动态路由。 总之，经典 SKU VPN 网关专为较小的工作负荷、低带宽和静态连接而设计。

经典 VPN 网关在其 IPsec 隧道的安全性和功能方面也有限制。 它们仅支持具有 IKEv1 协议的、基于策略的模式，且只有一组有限的加密和哈希算法，它们更容易受到攻击。 Microsoft 建议过渡到提供更广泛的选项的新 SKU，以适应阶段 1 和阶段 2 协议。 其关键优势是，基于路由的 VPN 网关可以使用 IKEv1 和 IKEv2 主模式，从而提供更大的实现灵活性和更可靠的加密和哈希算法。

如果需要比默认加密值更高的安全性，基于路由的 VPN 网关还允许自定义阶段 1 和阶段 2 参数，以选择特定的密码和密钥长度。 更强大的加密组包括组 14（2048 位）、组 24（2048 位 MODP 组）或 ECP（椭圆曲线组）256 位或 384 位（分别为组 19 组和组 20）。 此外，还可以指定允许哪些前缀范围使用流量选择器设置发送加密流量，以进一步保护隧道协商免受未经授权的流量干扰。

有关详细信息，请参阅 Azure VPN 网关加密。

Azure VPN 网关 SKU 有助于点到网站 (P2S) VPN 连接利用基于 IKEv2 标准协议的 IPsec 协议和基于 SSL/TLS 的 VPN 协议，例如 OpenVPN 和安全套接字隧道协议 (SSTP)。 此支持为用户提供了各种实现方法，并使用户能够使用不同的设备操作系统连接到 Azure。 Azure VPN 网关 SKU 还提供许多客户端身份验证选项，包括证书身份验证、Microsoft Entra ID 身份验证和 Active Directory 域服务 (AD DS) 身份验证。

注意

经典 IPSec 网关将于 2024 年 8 月 31 日停用。

建议训练

• 为 Azure 管理员配置和管理虚拟网络
• 使用网络安全组和服务终结点来保护和隔离对 Azure 资源的访问
• Azure Front Door 简介
• Azure 应用程序网关简介
• Azure Web 应用程序防火墙简介
• Azure 专用链接简介
• 使用 VPN 网关将本地网络连接到 Azure

后续步骤

有关将零信任应用于 Azure 网络的更多信息，请参阅：

• 加密基于 Azure 的网络通信
• 细分基于 Azure 的网络通信
• 获取网络流量可见性
• 使用零信任保护网络
• Azure 中的分支虚拟网络
• Azure 中的中心虚拟网络
• 使用 Azure PaaS 服务的分支虚拟网络
• Azure 虚拟 WAN

参考

请参阅以下链接，了解本文所述的各种服务和技术。

• Azure 虚拟网络 IP 服务
• Azure NAT 网关
• Azure 负载均衡器
• Azure Front Door
• Azure 应用程序网关
• Azure 内容分发网络
• Azure Web 应用程序防火墙 (WAF)
• Azure 专用链接
• Azure VPN 网关