应用零信任原则来深入了解网络流量

本文提供了有关在 Azure 环境中应用零信任原则来细分网络的指导。 以下是零信任原则。

零信任原则	定义
显式验证	始终根据所有可用的数据点进行身份验证和授权。
使用最低权限访问	使用实时和恰好足够的访问权限 (JIT/JEA)、基于风险的自适应策略和数据保护，来限制用户访问。
假定数据泄露	最大限度地减少影响范围，并对访问进行分段。 验证端对端加密并使用分析来获取可见性、驱动威胁检测并改善防御。 通过使用分析来深入了解 Azure 基础设施中的网络流量，可以满足此原则。

本文是一系列文章中的一篇，演示如何为 Azure 网络应用零信任原则。

本文介绍的网络流量类型包括：

• 集中式
• 东-西流量，即 Azure 虚拟网络 (VNet) 与 Azure 服务和本地网络之间的流量流
• 北-南，即 Azure 环境与 Internet 之间的流量流

参考体系结构

下图显示了此零信任指导的参考体系结构，用于本地与 Azure VNet 之间、Azure VNet 与 Azure 服务之间以及 Azure 环境与 Internet 之间的流量检查。

此参考体系结构包括：

• 在 Azure 虚拟机上运行的 Azure IaaS 工作负载。
• Azure 服务。
• Internet 边缘 VNet，其中包含 Azure DDoS 防护、Azure 防火墙以及 Azure Web 应用程序防火墙 (WAF)。
• 显示东-西和北-南流量流的箭头。

本文内容

零信任原则可应用于参考体系结构。 下表介绍了为确保此体系结构中网络流量的可见性而提出的建议，以便遵循假设安全漏洞零信任原则。

步长	任务
1	实现集中式流量检查点。
2	实现东-西流量检查。
3	实现北-南流量检查。

步骤 1：实现集中式流量检查点

集中式流量检查使你能够控制和可视化进出网络的流量。 中心和分支 VNet 和 Azure 虚拟 WAN 是 Azure 中最常见的两种网络拓扑。 它们在连接网络的方式上有不同的功能和特点。 在这两种设计中，中心 VNet 都是中心网络，用于将工作负载划分为应用程序和从中心 VNet 到分支 VNet 的工作负载。 集中式检查包括北-南、东-西或两者之间的流量流。

中心和辐射拓扑

中心和分支模型的一个特征是 VNet 都由你管理。 客户中心托管 VNet 充当其他分支 VNet 连接到的共享 VNet。 此集中式 VNet 通常用于：

• 建立与本地网络的混合连接。
• 使用 Azure 防火墙或第三方网络虚拟设备 (NVA) 进行流量检查和分段。
• 使用 WAF 集中进行应用程序交付服务检查，例如 Azure 应用程序网关。

在此拓扑中，你将 Azure 防火墙或 NVA 放置在中心 VNet 中，并配置用户定义的路由 (UDR)，以将分支 VNet 和本地网络中的流量定向到中心 VNet。 Azure 防火墙或 NVA 还可以充当路由引擎，用于在分支虚拟网络之间路由流量。 客户管理的 VNet 中心和分支模型最重要的功能之一是使用 UDR 对流量进行精细控制，并使你能够手动修改这些路由的路由、分段和传播。

Azure 虚拟 WAN

Azure 虚拟 WAN 是一个 Azure 托管的中心 VNet，它包含后台的路线服务实例，用于监督所有分支和所有支路之间的传播路线。 它有效地实现了任意连接性。

与托管 VNet（称为托管虚拟中心）的一大区别在于，路由控制的粒度是为用户抽象的。 一些主要优点包括：

• 使用本机任意连接性简化路由管理。 如果需要流量隔离，可以在默认路由表中手动配置自定义路由表或静态路由。
• 只有虚拟网络网关、Azure 防火墙和批准的 NVA 或软件定义的 WAN (SD-WAN) 设备才能部署在中心内部。 DNS 和应用程序网关等集中式服务需要位于常规分支 VNet 上。 分支需要使用 VNet 对等互连连接到虚拟中心。

托管 VNet 最适合：

• 跨区域大规模部署，这些区域需要传输连接，以便对进出任意位置的流量进行检查。
• 超过 30 个分支站点或 100 多个 Internet 协议安全性 (IPsec) 隧道。

虚拟 WAN 的一些最佳功能是可伸缩性路由基础结构和互连。 可伸缩性的示例包括每个中心 50 Gbps 的吞吐量和 1,000 个分支站点。 为了进一步缩放，多个虚拟中心可以相互连接，以创建更大的虚拟 WAN 网格网络。 虚拟 WAN 的另一个优势是，能够通过点击按钮注入前缀来简化流量检查的路由。

每种设计都有各自的优缺点。 应根据预期的未来增长和管理开销要求来确定适当的选择。

步骤 2：实现东-西流量检查

东-西流量流包括 VNet 到 VNet 和 VNet 到本地。 若要检查东-西之间的流量，可以在中心虚拟网络中部署 Azure 防火墙或 NVA。 这要求 UDR 将专用流量定向到 Azure 防火墙或 NVA 进行检查。 在同一 VNet 中，可以使用网络安全组进行访问控制，但如果需要通过检查进行更深入的控制，则可以通过 UDR 在中心虚拟网络中使用本地防火墙或集中式防火墙。

使用 Azure 虚拟 WAN，可以在虚拟中心内拥有 Azure 防火墙或 NVA，以便进行集中路由。 可以使用 Azure 防火墙管理器或路由意向来检查所有专用流量。 如果想要自定义检查，可以在虚拟中心让 Azure 防火墙或 NVA 检查所需的流量。 在虚拟 WAN 环境中定向流量的最简单方法是为专用流量启用路由意向。 此功能将专用地址前缀 (RFC 1918) 推送到连接到中心的所有分支。 任何流向专用 IP 地址的流量都将定向到虚拟中心进行检查。

每种方法都有各自的优缺点。 使用路由意向的优点是可简化 UDR 管理，但无法自定义每个连接的检查。 不使用路由意向或防火墙管理器的优点是可以自定义检查。 缺点是无法执行区域间流量检查。

下图显示了 Azure 环境中的东-西流量。

若要了解 Azure 中的网络流量，Microsoft 建议在 VNet 中实现 Azure 防火墙或 NVA。 Azure 防火墙可以检查网络层和应用程序层流量。 此外，Azure 防火墙还提供额外的功能，例如入侵检测和防护系统 (IDPS)、传输层安全性 (TLS) 检查、URL 筛选和 Web 类别筛选。

在 Azure 网络中包含 Azure 防火墙或 NVA 对于遵循假设安全漏洞零信任原则至关重要。 鉴于每当数据遍历网络时，都可能出现安全漏洞，因此必须了解和控制允许哪些流量到达其目标。 通过允许或拒绝跨工作负载的流量，Azure 防火墙、UDR 和网络安全组在启用安全流量模型方面发挥了重要作用。

若要查看有关 VNet 流量流的更多详细信息，可以启用 VNet 流日志或 NSG 流日志。 流日志数据存储在 Azure 存储帐户中，可在其中访问流日志数据并将其导出到可视化工具，例如 Azure 流量分析。 使用 Azure 流量分析，可以查找未知或不需要的流量、监视流量级别和带宽使用情况，或筛选特定流量以了解应用程序行为。

步骤 3：实现北-南流量检查

北-南流量通常包括专用网络与 Internet 之间的流量。 若要检查中心和分支拓扑中的北-南流量，可以利用 UDR 将流量定向到 Azure 防火墙实例或 NVA。 对于动态播发，可以将 Azure 路由服务器与支持 BGP 的 NVA 配合使用，以将所有 Internet 绑定的流量从 VNet 定向到 NVA。

在 Azure 虚拟 WAN 中，若要将北-南流量从 VNet 定向到虚拟中心支持的 Azure 防火墙或 NVA，可以使用以下常见方案：

• 在由路由意向或 Azure 防火墙管理器控制的虚拟中心内使用 NVA 或 Azure 防火墙，以定向北-南流量。
• 如果虚拟中心内不支持 NVA，则可以将其部署到分支 VNet，并使用 UDR 定向流量以进行检查。 这同样适用于 Azure 防火墙。 或者，也可以将分支中的 NVA 与虚拟中心进行 BGP 对等互连，以播发默认路由 (0.0.0.0/0)。

下图显示了 Azure 环境与 Internet 之间的北-南流量。

Azure 提供以下网络服务，旨在提供对进出 Azure 环境的网络流量的可见性。

Azure DDoS 防护

可以在具有公共 IP 资源的任何 VNet 上启用 Azure DDoS 防护，以监视和缓解可能的分布式拒绝服务 (DDoS) 攻击。 此缓解过程涉及根据 DDoS 策略中的预定义阈值分析流量利用率，然后记录此信息以进行进一步检查。 为了更好地为将来的事件做好准备，Azure DDoS 防护提供针对公共 IP 地址和服务执行模拟的功能，从而在 DDoS 攻击期间提供对应用程序复原能力和响应的宝贵见解。

Azure 防火墙

Azure 防火墙提供了一系列工具来监视、审核和分析网络流量。

• 日志和指标

  Azure 防火墙通过与 Azure Log Analytics 工作区集成来收集详细日志。 可以使用 Kusto 查询语言 (KQL) 查询来提取有关主要规则类别（如应用程序和网络规则）的额外信息。 你还可以检索特定于资源的日志，这些日志扩展了从网络级别到威胁情报和 IDPS 日志的模式和结构。 有关详细信息，请参阅 Azure 防火墙结构化日志。

• 工作簿

  Azure 防火墙提供了工作簿，用于显示一段时间内使用活动图收集的数据。 该工具还通过将多个 Azure 防火墙资源组合到一个统一界面中，帮助你可视化这些资源。 有关详细信息，请参阅使用 Azure 防火墙工作簿。

• 策略分析

  Azure 防火墙策略分析概述了已实施的策略，并基于策略见解、规则分析和流量流分析，优化和修改已实施的策略，以适应流量模式和威胁。 有关详细信息，请参阅 Azure 防火墙策略分析。

通过为管理员提供有效管理网络所需的工具，这些功能可确保 Azure 防火墙仍是保护网络流量的强大解决方案。

应用程序网关

应用程序网关提供重要的功能，用于监视、审核和分析流量以实现安全目的。 通过启用日志分析并使用预定义或自定义的 KQL 查询，可以查看 HTTP 错误代码，包括用于识别问题的 4xx 和 5xx 范围内的错误代码。

应用程序网关的访问日志还提供对安全密钥相关参数的关键见解，例如客户端 IP 地址、请求 URI、HTTP 版本和 SSL/TLS 特定的配置值，如协议、TLS 密码套件以及何时启用 SSL 加密。

Azure Front Door

Azure Front Door 使用 Anycast TCP 将流量路由到最近的数据中心接入点 (PoP)。 与传统的负载均衡器一样，你可以将 Azure 防火墙或 NVA 放置在 Azure Front Door 后端池（也称为其源）中。 唯一要求是源中的 IP 地址是公共地址。

将 Azure Front Door 配置为接收请求后，它会生成流量报告，以显示 Azure Front Door 配置文件的行为方式。 使用 Azure Front Door 高级层时，安全报告还可用于显示 WAF 规则的匹配项，包括开放式全球应用程序安全项目 (OWASP) 规则、机器人保护规则和自定义规则。

Azure WAF

Azure WAF 是一项额外的安全功能，用于检查第 7 层流量，并且可以针对具有特定层的应用程序网关和 Azure Front Door 激活。 这为并非源自 Azure 的流量提供了额外的安全层。 可以使用 OWASP 核心规则定义在预防和检测模式下配置 WAF。

监视工具

若要全面监视北-南流量流，可以使用 NSG 流日志、Azure 流量分析和 VNet 流日志等工具来增强对网络的可见性。

建议训练

• 为 Azure 管理员配置和管理虚拟网络
• Azure Web 应用程序防火墙简介
• Azure 虚拟 WAN 简介
• Azure Front Door 简介
• Azure 应用程序网关简介

后续步骤

有关将零信任应用于 Azure 网络的其他信息，请参阅：

• 加密基于 Azure 的网络通信
• 细分基于 Azure 的网络通信
• 停用旧式网络安全技术
• 使用零信任保护网络
• Azure 中的分支虚拟网络
• Azure 中的中心虚拟网络
• 使用 Azure PaaS 服务的分支虚拟网络
• Azure 虚拟 WAN

参考

请参阅以下链接，了解本文所述的各种服务和技术。

• Azure DDoS 防护
• Azure 防火墙
• Azure Web 应用程序防火墙
• Azure 虚拟 WAN
• Azure 应用程序网关
• 用户定义的路由
• Azure 防火墙管理器
• VNet 流日志
• NSG 流日志
• Azure 流量分析
• Azure 路由服务器
• Azure 防火墙结构化日志
• 使用 Azure 防火墙工作簿
• Azure 防火墙策略分析
• Azure Front Door