通过

将零信任原则应用于 Azure 虚拟 WAN 部署

  • 项目

随着现代化云、移动设备和其他终结点发展,仅依赖于企业防火墙和外围网络是不够的。 端到端零信任策略假定安全漏洞是不可避免的。 这意味着必须验证每个请求,就像它们来自不受控的网络一样。 网络在零信任中连接和保护基础结构、应用程序和数据方面仍发挥着重要作用。 在零信任模型中,保护网络有三个关键目标:

  • 准备好在攻击发生之前处理攻击。
  • 尽可能减少损坏程度及其传播速度。
  • 增加入侵云足迹的难度。

Azure 虚拟 WAN 支持在虚拟网络 (VNet) 中的全局分布式云工作负载集、分支站点、SaaS 和 PaaS 应用程序与用户之间随时建立任意连接性,从而实现全局传输网络体系结构。 在 Azure 虚拟 WAN 中采用零信任方法对于确保主干的安全和保护至关重要。

本文包含通过以下方式将零信任原则应用于 Azure 虚拟 WAN 部署所需的步骤:

零信任原则 定义 满足者
显式验证 始终根据所有可用的数据点进行身份验证和授权。 将 Azure 防火墙与传输层安全性 (TLS) 检查配合使用,以根据所有可用数据验证风险和威胁。 条件访问控制旨在通过不同的数据点提供身份验证和授权,Azure 防火墙不执行用户身份验证。
使用最低权限访问 使用实时和恰好足够的访问权限 (JIT/JEA)、基于风险的自适应策略和数据保护,来限制用户访问。 用户访问超出了 Azure 网络基础结构部署的范围。 可通过使用 Privileged Access Management、条件访问和其他控制等标识支柱解决方案实现此原则。
假定数据泄露 最大限度地减少影响范围,并对访问进行分段。 验证端对端加密并使用分析来获取可见性、驱动威胁检测并改善防御。 除非流量路由通过在每个 Azure 虚拟 WAN 中心中集成的防火墙,否则每个分支 VNet 无权访问其他分支 VNet。 防火墙默认设置为拒绝,仅允许指定规则允许的流量。 如果应用程序/工作负载被盗用或违规,由于 Azure 防火墙执行流量检查并仅转发允许的流量,因此其传播能力有限。 在同一应用程序中,只有同一工作负载中的资源才会有泄漏风险。

有关如何在 Azure IaaS 环境中应用零信任原则的详细信息,请参阅将零信任原则应用于 Azure 基础结构概述

有关零信任的行业讨论,请参阅 NIST 特别出版物 800-207

Azure 虚拟 WAN

Azure 虚拟 WAN 是一项网络服务,其中整合了多种网络、安全和路由功能,提供单一操作界面。 一些主要功能包括:

  • 高级路由功能
  • 通过中心内 Azure 防火墙或受支持的网络虚拟设备 (NVA) 进行安全 BITW 集成
  • 加密 ExpressRoute

Azure 虚拟 WAN 的零信任方法需要配置前面列出的零信任原则表中的多个基础服务和组件。 下面是步骤和操作的列表:

  • 在每个虚拟 WAN 中心内部署 Azure 防火墙或受支持的下一代防火墙 (NGFW) NVA。
  • 配置 VNet 之间和本地分支路由,以创建零信任环境,方法是将所有流量发送到中心的安全设备进行检查。 配置路由以提供针对已知威胁的筛选和保护。
  • 确保分支中的资源均无权直接访问 Internet。
  • 在分支网络中提供应用程序微分段,以及入口/出口微外围策略。
  • 实现网络安全事件的可观测性。

参考体系结构

下图显示了一个常见的参考体系结构,用于演示常用部署的环境以及如何将零信任原则应用于 Azure 虚拟 WAN。

Azure 虚拟桌面参考体系结构示意图。

Azure 虚拟 WAN 可在基本类型和标准类型中进行部署。 对具有 Azure 防火墙 或 NGFW 的 Azure 虚拟 WAN 应用零信任原则需要标准类型。

具有安全中心参考体系结构的 Azure 虚拟 WAN 包括:

  • 单个逻辑虚拟 WAN。
  • 两个安全虚拟中心,每个区域一个。
  • 在每个中心部署的 Azure 防火墙高级版实例。
  • 至少一个 Azure 防火墙高级版策略
  • 点到站点 (P2S) 和站点到站点 (S2S) VPN 和 ExpressRoute 网关。
  • P2S、S2S 和 ExpressRoute 连接的分支。
  • 一个共享服务 VNet,其中包含无法部署到虚拟 WAN 中心的核心基础结构资源,例如自定义 DNS VM 或 Azure DNS 专用解析程序、Active Directory 域服务 [AD DS] 域控制器、Azure Bastion 和其他共享资源。
  • 具有 Azure 应用程序网关、Azure Web 应用程序防火墙 (WAF) 和专用终结点(如果需要)的工作负载 VNet。

Azure 虚拟 WAN 支持在其中心内集成一组有限的第三方防火墙,用于替代本机 Azure 防火墙。 本文仅介绍 Azure 防火墙。 参考体系结构中 VNet 共享服务分支中仅包含可以部署的内容示例。 Microsoft 管理 Azure 虚拟 WAN 中心,除了 Azure 防火墙和受支持的 NVA 显式允许的内容之外,无法在其中安装任何其他内容。

有关此参考体系结构遵守的体系结构原则,请参阅适用于虚拟 WAN 网络拓扑的“云采用框架”一文。

路由安全性

确保本地环境的路由传播和隔离安全是必须管理的关键安全元素。

除了流量分段之外,路由安全性是任何网络安全设计的关键部分。 路由协议是大多数网络(包括 Azure)不可或缺的一部分。 需要保护基础结构免受路由协议固有的风险,例如错误配置或恶意攻击。 用于 VPNExpressRoute 的 BGP 协议提供了非常丰富的功能,用于保护网络免受意外路由变化的影响,这可能包括播发过于具体的路由或过于宽泛的路由。

保护网络的最佳方式是使用适当的路由策略路由映射配置本地设备,以确保仅将允许的前缀从 Azure 传播到网络中。 例如,您可以:

  • 阻止过于宽泛的入站前缀。

    如果由于配置错误,Azure 开始发送 0.0.0.0/0 或 10.0.0.0/8 等宽泛前缀,则可能会吸引本地网络中的流量,而这些流量正常应保留在本地网络中。

  • 阻止过于具体的入站前缀。

    在某些情况下,可以从 Azure 获取一些较长的 IPv4 前缀(网络前缀长度介于 30 到 32 之间),这些前缀通常包含在其他不太具体的前缀中,因此不是必需项。 删除这些前缀可防止本地路由表出现不必要的增大。

  • 除非使用 Azure 作为传输网络,否则阻止不在 Azure 中的入站前缀。

    如果当前未使用 Azure 在本地位置之间传输流量(例如,使用 ExpressRoute Global Reach 等技术),则从 Azure 播发的本地前缀将指示路由循环。 只有在本地路由器中获取 Azure 前缀,才能保护你免受这些类型的路由循环的影响。

  • 阻止不在本地的出站前缀。

    如果当前未将本地网络用于 Azure 区域之间的传输,则不应向 Azure 播发任何不使用本地的前缀。 否则,可能会面临创建路由循环的风险,特别是考虑到大多数路由器中的 eBGP 实施会在非首选链接上重新播发所有前缀这一事实。 这会影响将 Azure 前缀发送回 Azure,除非已配置 eBGP 多路径。

逻辑体系结构

Azure 虚拟 WAN 是中心以及其中提供的服务的集合。 可以部署所需数量的虚拟 WAN。 在虚拟 WAN 中心,存在多个服务,例如 VPN、ExpressRoute、Azure 防火墙或第三方集成的 NVA。

下图显示了 Azure 虚拟 WAN 部署的 Azure 基础结构的逻辑体系结构,如云采用框架所述。

Azure 虚拟 WAN 拓扑和 Azure 订阅的组件示意图。

大多数资源包含在连接订阅中。 将所有虚拟 WAN 资源部署到连接订阅中的单个资源组中,包括跨多个区域部署时。 Azure VNet 分支位于登陆区域订阅中。 如果使用继承和层次结构 Azure 防火墙策略,父策略和子策略必须位于同一区域中。 仍可以将在安全中心的某个区域中创建的策略应用于另一个区域。

本文内容

本文介绍在 Azure 虚拟 WAN 参考体系结构中应用零信任原则所需的步骤。

步长 任务 已应用零信任原则
1 创建 Azure 防火墙策略。 显式验证
假定数据泄露
2 将 Azure 虚拟 WAN 中心转换为安全中心。 显式验证
假定数据泄露
3 确保流量安全。 显式验证
假定数据泄露
4 确保分支 VNet 安全。 假定数据泄露
5 查看加密的使用情况。 假定数据泄露
6 确保 P2S 用户安全。 假定数据泄露
7 配置监视、审核和管理。 假定数据泄露

必须按顺序执行步骤 1 和 2。 可以按任意顺序执行其他步骤。

步骤 1:创建 Azure 防火墙策略:

对于经典中心和分支体系结构中的独立 Azure 防火墙部署,必须在 Azure 防火墙管理器中至少创建一个 Azure 策略,并将其关联到 Azure 虚拟 WAN 中心。 必须在转换任何中心之前创建并提供此策略。 在定义策略后,该策略将应用于步骤 2 中的 Azure 防火墙实例。

Azure 防火墙策略可以在父-子层次结构中进行排列。 对于经典中心和分支方案或托管的 Azure 虚拟 WAN,应使用一组常见的 IT 范围安全规则来定义根策略,以允许或拒绝流量。 然后,对于每个中心,可以定义子策略,以通过继承实施特定于中心的规则。 此步骤是可选的。 如果必须应用于每个中心的规则相同,则可以应用单个策略。

对于零信任,需要高级版 Azure 防火墙策略,并且应包含以下设置:

  • DNS 代理 – 应将 Azure 防火墙配置为分支 VNet 的自定义 DNS 服务器,以保护驻留在共享服务分支或本地的真实 DNS。 Azure 防火墙充当 DNS 代理,侦听 UDP 端口 53,并将 DNS 请求转发到策略设置中指定的 DNS 服务器。 对于每个分支,必须在虚拟网络级别配置 DNS 服务器,以指向虚拟 WAN 中心中 Azure 防火墙的内部 IP 地址。 不应向自定义 DNS 授予来自辐射和分支的网络访问权限。

  • 应针对以下应用场景启用 TLS 检查

    • 出站 TLS 检查,用于防止从在 Azure 中托管的内部客户端发送到 Internet 的恶意流量。

    • 东-西 TLS 检查,用于包含进出本地分支和虚拟 WAN 分支之间的流量,从而保护 Azure 工作负载免受从 Azure 内部发送的潜在恶意流量。

  • 应在“警报和拒绝”模式下启用入侵检测和防护系统 (IDPS)

  • 应在“警报和拒绝”模式下启用威胁情报

在创建策略的过程中,必须创建必要的目标网络地址转换 (DNAT) 规则、网络规则和应用程序规则,以仅针对显式允许的流量启用网络流。 要针对所选目标启用 TLS 检查,必须启用相应应用程序规则的“TLS 检查”设置。 在规则集合中创建规则时,应使用限制性最高的“目标”和“目标类型”。

步骤 2:将 Azure 虚拟 WAN 中心转换为安全中心

Azure 虚拟 WAN 的零信任方法核心是安全虚拟 WAN 中心(安全中心)概念。 安全中心是已集成 Azure 防火墙的 Azure 虚拟 WAN 中心。 支持使用第三方支持的安全设备替代 Azure 防火墙,但在本文中不做详述。 可以使用这些虚拟设备检查所有北-南、东-西和 Internet 绑定流量。

建议使用适用于零信任的 Azure 防火墙高级版,并使用步骤 1 中所述的高级版策略对其进行配置。

注意

安全中心不支持使用 DDoS 防护。

有关详细信息,请参阅在虚拟 WAN 中心安装 Azure 防火墙

步骤 3:确保流量安全

将所有 Azure 虚拟 WAN 中心升级为安全中心后,必须针对零信任原则配置路由意向和策略。 此配置支持每个中心中的 Azure 防火墙吸引和检查同一中心以及跨远程中心的辐射和分支之间的流量。 应将策略配置为通过 Azure 防火墙或第三方 NVA 发送“Internet 流量”和“专用流量”。 还必须启用“中心间”选项。 下面是一个示例。

Azure 防火墙路由策略的示例。

在启用“专用流量”路由策略后,进出虚拟 WAN 中心的 VNet 流量(包括中心间流量)将转发到策略中指定的下一个跃点 Azure 防火墙或 NVA。 具有基于角色的访问控制 (RBAC) 特权的用户可以替代分支 VNet 的虚拟 WAN 路由编程,并关联自定义用户定义的路由 (UDR) 以绕过中心防火墙。 为了防止此漏洞,应仅将用于将 UDR 分配到分支 VNet 子网的 RBAC 权限授予中心网络管理员,而不是委派给分支 VNet 的登陆区域所有者。 要将 UDR 与 VNet 或子网相关联,用户必须具有网络参与者角色或具有 "Microsoft.Network/routeTables/join/action" 操作或权限的自定义角色。

注意

在本文中,Azure 防火墙主要考虑用于 Internet 流量和专用流量控制。 对于 Internet 流量,可以使用第三方支持的安全 NVA 或第三方安全性即服务 (SECaaS) 提供程序。 对于专用流量,可以使用第三方支持的安全 NVA 替代 Azure 防火墙。

注意

Azure 虚拟 WAN 中的自定义路由表无法与“路由意向和策略”结合使用,不应被视为安全选项。

步骤 4:确保分支 VNet 安全:

每个 Azure 虚拟 WAN 中心可以将一个或多个 VNet 通过 VNet 对等互连连接。 根据云采用框架中的登陆区域模型,每个 VNet 都包含用于支持组织的登陆区域工作负载、应用程序和服务。 Azure 虚拟 WAN 管理连接、路由传播和关联以及出站和入站路由,但不会影响 VNet 内部安全性。 零信任原则必须应用到每个分支 VNet 中,依据在分支虚拟网络中应用零信任原则中发布的指南以及其他文章,具体取决于虚拟机和存储等资源类型。 请考虑以下元素:

由于 Azure 虚拟 WAN 中的中心被 Azure 锁定和管理,因此无法安装或启用自定义组件。 必须将经典中心和分支模型中通常在中心内部署的一些资源置于充当共享资源网络的一个或多个分支中。 例如:

  • Azure Bastion:Azure Bastion 支持 Azure 虚拟 WAN,但必须部署在分支虚拟网络中,因为中心受 Azure 限制和管理。 在 Azure Bastion 分支中,用户可以访问其他 VNet 中的资源,但需要 Azure Bastion 标准 SKU 提供基于 IP 的连接
  • 自定义 DNS 服务器:DNS 服务器软件可以安装在任何虚拟机上,并充当 Azure 虚拟 WAN 中所有分支的 DNS 服务器。 DNS 服务器必须安装在相应的分支 VNet 中,该 VNet 直接为所有其他分支提供服务或通过虚拟 WAN 中心内集成的 Azure 防火墙提供的 DNS 代理功能提供。
  • Azure 专用 DNS 解析程序:支持在连接到虚拟 WAN 中心的分支 VNet 之一内部署 Azure 专用 DNS 解析程序。 当启用 DNS 代理功能时,虚拟 WAN 中心内集成的 Azure 防火墙可以将此资源用作自定义 DNS。
  • 专用终结点:此资源类型与虚拟 WAN 兼容,但必须在分支 VNet 中进行部署。 这提供了与连接到同一 WAN 的任何其他虚拟网络或分支的连接,前提是集成的 Azure 防火墙允许该流。 有关如何使用虚拟 WAN 中心中集成的 Azure 防火墙且包指向专用终结点的流量安全的说明,请参阅保护发送到 Azure 虚拟 WAN 中专用终结点的流量
  • Azure 专用 DNS 区域(链接):这种类型的资源不在虚拟网络中,但必须链接到它们才能正常运行。 专用 DNS 区域无法链接到虚拟 WAN 中心。 相反,这些区域应连接到包含自定义 DNS 服务器或 Azure 专用 DNS 解析程序(推荐)的分支 VNet,或直接连接到需要该区域中的 DNS 记录的分支 VNet。

步骤 5:检查加密

Azure 虚拟 WAN 通过其自己的网关为进入 Microsoft 网络的流量提供一些流量加密功能。 应尽可能启用加密,具体取决于网关类型。 请考虑以下默认加密行为:

  • 虚拟 WAN S2S VPN 网关在使用 IPsec/IKE(IKEv1 和 IKEv2) VPN 连接时提供加密。

  • 虚拟 WAN P2S VPN 网关在使用通过 OpenVPN 或 IPsec/IKE (IKEv2) 的 VPN 连接时提供加密。

  • 虚拟 WAN ExpressRoute 网关不提供加密,因此应遵守独立 ExpressRoute 中的相同注意事项。

    • 仅对于在 ExpressRoute Direct 上预配的 ExpressRoute 循环,可以利用平台提供的 MACsec 加密来保护边缘路由器与 Microsoft 边缘路由器之间的连接。

    • 可通过 Azure ExpressRoute 循环的专用对等互连使用 IPsec/IKE VPN 连接建立从本地网络到 Azure 的加密。 路由意向和策略现在支持此配置,并且需要额外的配置步骤,如已加密 ExpressRoute 所述。

  • 对于集成到虚拟 WAN 中心的第三方软件定义的 WAN (SD-WAN) 设备和 NVA,必须根据供应商文档验证和配置特定的加密功能。

在流量通过网关之一或 SD-WAN/NVA 进入 Azure 网络基础结构后,没有提供网络加密的特定虚拟 WAN 服务或功能。 如果中心与其虚拟网络和中心到中心之间的流量未加密,则必须根据需要使用应用程序级加密。

注意

虚拟 WAN 分支不支持使用 Azure VPN 网关进行 VNet 到 VNet 加密,因为需要分支才能使用虚拟 WAN 中心远程网关。

步骤 6:保护 P2S 用户

Azure 虚拟 WAN 是一项网络服务,其中整合了多种网络、安全和路由功能,提供单一操作界面。 从用户标识的角度来看,具有虚拟 WAN 的唯一触控点位于用于允许用户 P2S VPN 的身份验证方法中。 提供了多种身份验证方法,但我们建议遵循通用零信任原则 Microsoft Entra 身份验证。 对于 Microsoft Entra ID,可能需要多重身份验证(MFA) 和条件访问将零信任原则应用于客户端设备和用户标识。

注意

Microsoft Entra 身份验证仅适用于使用 OpenVPN 协议的网关,该协议仅适用于 OpenVPN 协议连接并且需要 Azure VPN 客户端。

Azure 虚拟 WAN 和 Azure 防火墙不提供基于用户帐户或组名的流量路由和筛选,但可以向不同的用户组分配不同的 IP 地址池。 然后,可以在集成的 Azure 防火墙上定义规则,以基于其分配的 P2S IP 地址池限制用户或群组。

如果根据网络访问要求将 P2S 用户划分到不同的群组中,建议在网络级别区分这些用户,并确保他们只能访问部分内部网络。 可以为 Azure 虚拟 WAN 创建多个 IP 地址池。 有关详细信息,请参阅针对 P2S 用户 VPN 配置用户组和 IP 地址池

步骤 7:配置监视、审核和管理

Azure 虚拟 WAN 通过 Azure Monitor 提供大量监视和诊断功能。 可以使用名为虚拟 WAN 的 Azure Monitor 见解的 Azure 门户中醒目的预生成监视仪表板来获取其他详细信息和拓扑。 这些监视工具不特定于安全性。 在每个虚拟 WAN 中心内部署的 Azure 防火墙可作为零信任和安全监视的集成点。 必须将 Azure 防火墙诊断和日志记录配置为与虚拟 WAN 外部的 Azure 防火墙相同。

Azure 防火墙提供了以下监视工具,可用于确保安全并正确应用零信任原则:

  • Azure 防火墙策略分析提供有关 Azure 防火墙的见解、集中可见性和控制。 安全性要求适当的防火墙规则应就位并有效保护内部基础结构。 Azure 门户汇总了防火墙引擎 IDPS 和威胁情报功能生成的“潜在恶意源”的详细信息。

  • Azure 防火墙工作簿为 Azure 防火墙数据分析提供了一个灵活的画布。 可以深入了解 Azure 防火墙事件,了解应用程序和网络规则,并查看跨 URL、端口和地址的防火墙活动统计信息。 强烈建议定期查看检查 IDPS 日志统计信息,在调查选项卡中检查遭拒的流量、源流和目标流,并查看威胁情报报告以检查和优化防火墙规则。

Azure 防火墙还会将 Microsoft Defender for CloudMicrosoft Sentinel 相集成。 强烈建议正确配置这两种工具,并通过以下方式主动将其用于零信任:

  • 借助 Microsoft Defender for Cloud 集成,可以在一个位置可视化网络基础结构和网络安全的所有状态,包括跨分布在 Azure 不同区域中的所有 VNet 和虚拟中心的 Azure 网络安全。 部署 Azure 防火墙的 Azure 防火墙数、防火墙策略数和 Azure 区域数一目了然。
  • 用于无缝集成 Azure 防火墙的 Microsoft Sentinel 解决方案可提供威胁检测和防护。 在进行部署后,该解决方案允许在 Microsoft Sentinel 上内置可自定义威胁检测。 此解决方案还包含工作簿、检测、搜寻查询和剧本

管理员培训

以下培训模块可帮助团队掌握将零信任原则应用于 Azure 虚拟 WAN 部署所需的技能。

Azure 虚拟 WAN 简介

培训 Azure 虚拟 WAN 简介
介绍如何使用软件定义的 Azure 虚拟 WAN 网络服务构造广域网 (WAN)。

开始>

Azure 防火墙简介

培训 Azure 防火墙简介
介绍 Azure 防火墙如何保护 Azure VNet 资源,包括 Azure 防火墙功能、规则、部署选项以及通过 Azure 防火墙管理器进行的管理。

开始>

Azure 防火墙管理器简介

培训 Azure 防火墙管理器简介
描述是否可以使用 Azure 防火墙管理器为基于云的安全外围提供集中安全策略和路由管理。 评估 Azure 防火墙管理器是否可以帮助保护云外围。

开始>

设计和实现网络安全

培训 设计和实现网络安全
你将了解设计和实现网络安全解决方案,如 Azure DDoS、网络安全组、Azure 防火墙和 Web 应用程序防火墙。

开始>

有关 Azure 安全性的更多培训,请参阅 Microsoft 目录中的以下资源:
Azure 中的安全性

后续步骤

请参阅以下有关将零信任原则应用于 Azure 的其他文章:

参考

请参阅以下链接,了解本文所述的各种服务和技术。

Azure 虚拟 WAN

安全基线

架构良好的框架检查

Azure 安全性

技术插图

可以下载本文中使用的插图。 使用 Visio 文件修改这些插图以供自己使用。

PDF | Visio

有关其他技术插图,请单击此处