在 Azure Virtual Network Manager 中使用安全性系統管理規則強制執行虛擬網路
在本文中,您將了解安全性系統管理規則如何透過網路安全性群組等工具,讓您彈性強制執行安全性原則並視需要調整。 首先,您將了解強制執行虛擬網路的不同方法。 接著,您將了解使用安全性系統管理規則強制執行安全性的一般步驟。
強制執行虛擬網路
單靠 網路安全組 (NSGs),在數個應用程式、小組甚至整個組織之間廣泛強制執行虛擬網路可能會很棘手。 通常在組織間嘗試強制執行時皆會進行平衡措施,賦予小組精細、彈性的控制。
安全性系統管理規則的目標是透過合併每個模型的優點,同時減少每個模型的缺點,進而一併消除強制執行和彈性之間的滑動比例。 中央治理小組會透過安全性系統管理規則來建立防護軌,同時仍保留空間讓個別小組視需要透過 NGS 規則彈性確定安全性。 安全性系統管理規則並不是用來覆寫 NSG 規則。 相反地,該規則會與 NSG 規則搭配運作以提供組織間的強制和彈性。
強制執行模型
讓我們參考一些未使用安全性系統管理規則的安全性管理常見方法,以集各自的優點和缺點:
模型 1 - 使用 NSG 的中央治理小組管理
在此模型中,NSG 是由組織內的中央治理小組所管理。
| 優點 | 缺點 |
|---|---|
| 中央治理小組可強制執行重要的安全性規則。 | 操作額外負荷會較高,因為系統管理員必須管理每個 NSG,當 NSG 數目增加,負擔也會相對增加。 |
模型 2 - 使用 NSG 的個別小組管理
在此模型中,NSG 是由組織內的個別小組 (而不需要集中式治理小組) 所管理。
| 優點 | 缺點 |
|---|---|
| 個別小組可根據服務需求,在量身打造安全性規則時進行彈性控制。 | 中央治理小組無法強制執行重要的安全性規則,例如封鎖具風險連接埠。 個別小組也可能設定錯誤或忘記附加 NSG,導致弱點暴光。 |
模型 3 - NSG 是透過 Azure 原則所建立且由個別小組管理。
在此模型中,個別小組仍會管理其 NSG。 差異在於 NSG 是使用 Azure 原則建立,藉以設定標準規則。 修改這些規則會觸發稽核通知。
| 優點 | 缺點 |
|---|---|
| 個別小組可在量身打造安全性規則時進行彈性控制。 中央治理小組可建立安全性規則,並在修改規則時接收通知。 |
中央治理小組仍無法強制執行標準安全性規則,因為小組中的 NSG 擁有者仍可加以修改。 通知也會難以管理。 |
具有安全性系統管理員規則的網路流量強制執行和例外狀況
讓我們將目前為止討論的概念套用至範例案例。 公司網路管理員想要強制執行安全性規則以封鎖整個公司的輸入 SSH 流量。 如果沒有安全性管理規則,強制執行這種類型的安全性規則就很困難。 如果系統管理員管理所有 NSG,則管理額外負荷會較高,而且系統管理員無法快速回應回應產品小組的需求以修改 NSG 規則。 另一方面,如果產品小組在未使用安全性系統管理員的情況下管理自身 NSG,則系統管理員無法強制執行重要的安全性規則,進而導致暴露潛在安全性風險。 同時使用安全性系統管理規則和 NSG,即可解決此難體。
在此情況下,系統管理員可以建立安全性系統管理員規則,以封鎖公司中所有虛擬網路的輸入 SSH 流量。 系統管理員也可以建立安全性系統管理員規則,以允許需要例外狀況之特定虛擬網路的輸入 SSH 流量。 安全性系統管理員規則會在整個公司強制執行,而且系統管理員仍然可以允許特定虛擬網路的例外狀況。 這會透過針對每個規則使用優先順序來完成。
下圖顯示系統管理員如何達成下列目標:
- 在整個組織中強制執行安全性系統管理規則。
- 允許應用程式小組處理 SSH 流量的例外狀況。
步驟 1:建立網路管理員執行個體
公司管理員可透過公司的根管理群組來建立網路管理員,作為此網路執行個體的範圍。
步驟 2:建立虛擬網路的網路群組
系統管理員會建立兩個網路群組 – 所有網路群組 (包含組織中的所有虛擬網路),以及應用程式網路群組 (包含需要例外狀況的應用程式 VNet)。 上圖中的所有網路群組包含 VNet 1 到 VNet 5,應用程式網路群組有 VNet 4 和 VNet 5。 使用者可輕鬆使用動態成員資格來定義兩種網路群組。
步驟 3:建立安全性系統管理設定
在此步驟中,將使用下列安全性系統管理設定來定義兩個安全性系統管理規則:
- 安全性系統管理員規則,用以封鎖有較低優先順序 (100) 的所有網路群組的輸入 SSH 流量。
- 安全性系統管理規則,用以允許有較高優先順序 (10) 的應用程式網路群組的輸入 SSH 流量。
步驟 4:部署安全性系統管理設定
在部署安全性系統管理設定之後,公司中的所有 虛擬網路皆會有安全性管理規則強制執行的拒絕輸入 SSH 流量規則。 個別小組無法修改此拒絕規則,只有定義的公司管理員可進行修改。 應用程式虛擬網路將同時有允許輸入 SSH 流量規則和拒絕輸入 SSH 流量規則 (繼承自所有網路群組規則)。 應用程式網路群組的允許輸入 SSH 流量規則的優先順序數字越小,評估的優先順序越高。 當輸入 SSH 流量傳入應用程式 VNet,則較高優先順序的安全性系統管理規則會允許流量。 假設應用程式虛擬網路的子網路上有 NGS,接下來會根據應用程式小組所設定的 NSG 評估此輸入 SSH 流量。 此處所述的安全性系統管理規則方法可讓公司管理員有效強制執行公司原則,並在組織間建立能與 NSG 運作的彈性安全性防護軌。