網路和連線的建議

  • 發行項

適用于此 Azure Well-Architected Framework 安全性檢查清單建議:

SE:05 隔離、篩選和控制輸入和輸出流程之間的網路流量。 在東部和北南部流量之間,使用所有可用的網路界限來套用深度防禦原則。

本指南說明網路設計的建議。 重點在於 安全性控制項,可篩選、封鎖和偵測跨越架構 各種深度的網路界限的敵人。

您可以藉由實作網路型存取控制措施來強化身分識別控制。 除了身分識別型存取控制之外,網路安全性也是保護資產的高優先順序。 適當的網路安全性控制可以提供深度防禦元素,以協助偵測和包含威脅,並防止攻擊者進入您的工作負載。

定義

詞彙 定義
東-西流量 在信任界限內移動的網路流量。
輸出流程 輸出工作負載流量。
惡意網路 未部署為工作負載一部分的網路。 惡意網路被視為威脅向量。
輸入流程 輸入工作負載流量。
網路篩選 根據指定規則允許或封鎖網路流量的機制。
網路分割或隔離 將網路分割成小型隔離區段的策略,並在界限套用安全性控制。 這項技術有助於保護資源免于惡意網路,例如網際網路。
網路轉換 將網路封包變動為遮蔽的機制。
北-南流量 從信任界限移至潛在惡意外部網路的網路流量,反之亦然。

主要設計策略

網路安全性使用 模糊來保護工作負載資產免于遭受惡意網路攻擊。 在界限控制將流量標示為安全向前移動之前,網路界限後方的資源會隱藏。 網路安全性設計是以三個主要策略為基礎:

  • 區段。 這項技術 會藉由新增界限來隔離不同網路上的流量。 例如,來自應用層的流量會通過界限,以便與其他層級通訊,這些層具有不同的安全性需求。 分割層會實作深度防禦方法。

    最重要的安全性界限是 您的應用程式與公用網路之間的網路邊緣。 請務必明確定義此周邊,以便建立隔離惡意網路的界限。 此邊緣上的控制項必須非常有效,因為此界限是您的第一道防線。

    虛擬網路提供邏輯界限。 根據設計,除非界限刻意中斷對等互連,否則虛擬網路無法與另一個虛擬網路通訊。 您的架構應該利用這個強式平臺提供的安全性措施。

    您也可以使用其他邏輯界限,例如 虛擬網路內的已分割子網。 子網的優點是,您可以使用子網將隔離界限內的資源分組在一起,並具有類似的安全性保證。 接著,您可以設定界限上的控制項來篩選流量。

  • 篩選。 此策略有助於確保 進入界限的流量是預期、允許且安全的。 從 Zero-Trust 的觀點來看,篩選會明確驗證網路層級的所有可用資料點。 您可以將規則放在界限上,以檢查特定條件。

    例如,在標頭層級,規則可以確認流量來自預期的位置或具有預期的磁片區。 但這些檢查並不夠。 即使流量呈現預期的特性,承載可能不安全。 驗證檢查可能會顯示 SQL 插入式攻擊。

  • 轉換將界限上的封包變動為安全性措施。 例如,您可以移除 HTTP 標頭,以消除暴露的風險。 或者,您也可以在某個時間點關閉傳輸層安全性 (TLS) ,並在另一個躍點重新建立它,並具有更嚴格管理的憑證。

分類流量

分類流程的第一個步驟是研究工作負載架構的圖解。 從圖解中,根據工作負載的功能公用程式和作業層面, 判斷流程的意圖和特性 。 使用下列問題來協助分類流程:

  • 如果工作負載需要與外部網路通訊,這些網路所需的鄰近層級應該是什麼?

  • 流量的網路特性為何,例如預期的通訊協定和封包的來源和形狀? 網路層級是否有任何合規性需求?

有許多方式可以分類流量。 下列各節將討論常用的準則。

來自外部網路的可見度

  • 公用。 如果工作負載的應用程式和其他元件可從公用網際網路連線,則工作負載會公開。 應用程式會透過一或多個公用 IP 位址和公用網域名稱系統 (DNS) 伺服器公開。

  • 私人。 如果工作負載只能透過私人網路存取,例如虛擬私人網路 (VPN) ,則工作負載是私人的。 它只會透過一或多個私人 IP 位址公開,而且可能透過私人 DNS 伺服器公開。

    在私人網路中,沒有從公用網際網路到工作負載的可見線。 針對閘道,您可以使用負載平衡器或防火牆。 這些選項可以提供安全性保證。

即使使用公用工作負載, 也致力於盡可能保持大部分的工作負載私用。 此方法會在封包從公用網路抵達時強制跨越私人界限。 該路徑中的閘道可以做為轉換點,方法是做為反向 Proxy。

流量方向

  • 輸入。 輸入是流向工作負載或其元件的輸入流量。 若要協助保護輸入,請套用上述一組重要策略。 判斷流量來源是什麼,以及其是否為預期、允許且安全。 如果您未檢查輸入或實作基本網路安全性措施,掃描公用雲端提供者 IP 位址範圍的攻擊者可以成功滲透防禦。

  • 輸出。 輸出是離開工作負載或其元件的輸出流量。 若要檢查輸出,請判斷流量的前端位置,以及目的地是否預期、允許及安全。 目的地可能是惡意的,或與資料外泄風險相關聯。

此圖顯示 Azure 部署與網際網路之間的網路流量流程。

您也可以 考慮工作負載與公用網際網路的鄰近性,以判斷暴露程度。 例如,應用程式平臺通常會提供公用 IP 位址。 工作負載元件是解決方案的臉部。

影響範圍

  • 北-南。 在工作負載網路與外部網路之間流動的流量是北向南流量。 此流量會跨越您網路的邊緣。 外部網路可以是公用網際網路、公司網路,或任何其他超出您控制範圍的網路。

    輸入和輸出可以是北向南流量。

    例如,請考慮中樞輪輻網路拓撲的輸出流程。 您可以定義工作負載的網路邊緣,讓中樞成為外部網路。 在此情況下,來自輪輻虛擬網路的輸出流量是北向南流量。 但是,如果您考慮控制領域內的中樞網路,北南部流量會延伸到中樞中的防火牆,因為下一個躍點是網際網路,這可能會造成惡意。

  • 東部-西部。 工作負載網路內流動的流量是東部-西部流量。 這種類型的流量會在工作負載中的元件彼此通訊時產生。 例如,多層式應用程式層之間的流量。 在微服務中,服務對服務通訊是東部-西部流量。

若要深入防禦,請維護 每個躍點中包含的安全性能供性端對端控制,或在封包跨內部區段時使用。 不同的風險層級需要不同的風險補救方法。

此圖顯示私人雲端的網路防禦深度。

上圖說明私人雲端中的深度網路防禦。 在此圖中,公用和私人 IP 位址空間之間的框線比公用雲端圖表中的工作負載更遠。 多層會分隔 Azure 部署與公用 IP 位址空間。

注意

身分識別一律是主要周邊。 存取管理必須套用至網路流程。 當您在網路元件之間使用 Azure 角色型存取控制 (RBAC) 時,請使用受控識別。

分類流程之後,請執行分割練習,以識別網路區段通訊路徑上的防火牆插入點。 當您 在所有區段和所有流量類型之間深度設計網路防禦時,請假設所有點都有缺口。 在所有可用的界限上使用各種當地語系化網路控制項的組合。 如需詳細資訊,請參閱 分割策略

在邊緣套用防火牆

網際網路邊緣流量是北向南流量,包含輸入和輸出。 若要偵測或封鎖威脅,邊緣策略必須盡可能減少網際網路的和來自網際網路的攻擊數目。

針對輸出, 請透過單一防火牆傳送所有網際網路系結流量 ,以提供流量的增強監督、控管和控制。 針對輸入,強制來自網際網路的所有流量通過網路虛擬裝置 (NVA) 或 Web 應用程式防火牆。

  • 防火牆通常是在組織中每個區域部署的單一。 因此,他們會在工作負載之間共用,並由中央小組所擁有。 請確定您使用的任何 NVA 都已設定為支援工作負載的需求。

  • 建議您盡可能使用 Azure 原生控制項。

    除了原生控制項之外,您也可以考慮提供進階或特製化功能的合作夥伴 NVA。 合作夥伴防火牆和 Web 應用程式防火牆廠商產品可在 Azure Marketplace取得。

    使用原生功能而非合作夥伴解決方案的決策,應該以您組織的體驗和需求為基礎。

    取捨:合作夥伴功能通常會提供進階功能,以防止複雜的攻擊,但通常不常見。 合作夥伴解決方案的設定可能很複雜且不穩定,因為這些解決方案不會與雲端的網狀架構控制器整合。 從成本的觀點來看,原生控制是慣用的,因為它比合作夥伴解決方案便宜。

您考慮的任何技術選項都應該提供輸入和輸出流程的安全性控制和監視。 若要查看 Azure 可用的選項,請參閱本文中的 Edge 安全性 一節。

設計虛擬網路和子網安全性

私人雲端的主要目標是遮蔽來自公用網際網路的資源。 有數種方式可以達成此目標:

  • 移至私人 IP 位址空間,您可以使用虛擬網路來完成此空間。 即使在您自己的私人網路內,也能將網路線降到最低。

  • 將您用來公開較少工作負載的公用 DNS 專案數目降到最低

  • 新增輸入和輸出網路流程式控制制。 不允許不信任的流量。

分割策略

若要將網路可見度降到最低,請 分割您的網路,並從最低許可權的網路控制開始。 如果區段無法路由傳送,就無法存取。 擴大範圍,只包含需要透過網路存取彼此通訊的區段。

您可以藉由建立子網來區隔虛擬網路。 除法的準則應該是刻意的。 當您將服務共置在子網內時,請確定這些服務可以彼此查看。

您可以根據許多因素來分割。 例如,您可以將不同的應用層放在專用區段中。 另一種方法是根據使用已知通訊協定的常見角色和函式來規劃子網。

如需詳細資訊,請參閱 分割策略

子網防火牆

請務必檢查每個子網的輸入和輸出流量。 使用本文稍早所討論的三個主要策略,在 主要設計策略中。 檢查流程是否為預期、允許且安全。 若要確認此資訊,請 定義以流量通訊協定、來源和目的地為基礎的防火牆規則

在 Azure 上,您會在網路安全性群組中設定防火牆規則。 如需詳細資訊,請參閱本文中的 網路安全性群組 一節。

如需子網設計的範例,請參閱Azure 虛擬網路子網

在元件層級使用控制項

將網路可見度降到最低之後,請從網路觀點對應您的 Azure 資源,並評估流程。 以下是可能的流程類型:

  • 根據架構設計,規劃的流量或服務之間的刻意通訊。 例如,當您的架構建議Azure Functions從Azure 服務匯流排提取訊息時,您已規劃流量。

  • 管理流量,或作為服務功能一部分發生的通訊。 此流量不是您設計的一部分,而且您沒有控制權。 受控流量的範例是架構中的 Azure 服務與 Azure 管理平面之間的通訊。

區分計畫和管理流量可協助您建置當地語系化或服務層級的控制措施。 瞭解每個躍點的來源和目的地。 特別是瞭解資料平面的公開方式。

作為起點,判斷每個服務是否公開給網際網路。 如果是,請規劃如何限制存取。 如果不是,請將它放在虛擬網路中。

服務防火牆

如果您預期服務會公開至網際網路, 請利用大部分 Azure 資源可用的服務等級防火牆。 使用此防火牆時,您可以根據存取模式設定規則。 如需詳細資訊,請參閱本文中的 Azure 服務防火牆 一節。

注意

當您的元件不是服務時,除了網路層級防火牆之外,還會使用主機型防火牆。 虛擬機器 (VM) 是非服務的元件範例。

與平臺即服務 (PaaS) 服務的連線

請考慮使用 私人端點來協助保護 PaaS 服務的存取。 私人端點會從虛擬網路指派私人 IP 位址。 端點可讓網路中的其他資源透過私人 IP 位址與 PaaS 服務通訊。

使用服務的公用 IP 位址和 DNS 記錄,即可與 PaaS 服務通訊。 該通訊會透過網際網路進行。 您可以將該通訊設為私用。

從 PaaS 服務到其中一個子網的通道會建立私人通道。 所有通訊都會從元件的私人 IP 位址到該子網中的私人端點進行,然後與 PaaS 服務通訊。

在此範例中,左側的影像會顯示公開端點的流程。 右側使用私人端點來保護該流程。

此圖顯示私人端點如何協助保護資料庫免于網際網路使用者。

如需詳細資訊,請參閱本文中的 私人端點 一節。

注意

我們建議您搭配服務防火牆使用私人端點。 服務防火牆會封鎖傳入的網際網路流量,然後將服務私下公開給使用私人端點的內部使用者。

使用私人端點的另一個優點是,您不需要開啟防火牆上的埠以進行輸出流量。 私人端點會鎖定公用網際網路埠上的所有輸出流量。 連線僅限於網路內的資源。

取捨:Azure Private Link是付費服務,其中包含已處理的輸入和輸出資料計量。 您也會支付私人端點的費用。

防止分散式阻斷服務 (DDoS) 攻擊

DDoS 攻擊會嘗試耗盡應用程式的資源,讓合法使用者無法使用應用程式。 DDoS 攻擊可以鎖定可透過網際網路公開連線的任何端點。

DDoS 攻擊通常是大量、廣泛、分散地理位置的系統資源濫用,因此很難找出並封鎖來源。

如需Azure 支援協助防範這些攻擊,請參閱本文中的Azure DDoS 保護一節。

Azure 設施

您可以使用下列 Azure 服務,將深度防禦功能新增至您的網路。

Azure 虛擬網路

虛擬網路可協助 Azure 資源安全地彼此通訊、網際網路和內部部署網路。

根據預設,虛擬網路中的所有資源都可以與網際網路進行輸出通訊。 但預設會限制輸入通訊。

虛擬網路提供篩選流量的功能。 您可以使用使用者定義的路由 (UDR) 和防火牆元件,限制虛擬網路層級的存取。 在子網層級,您可以使用網路安全性群組來篩選流量。

Edge 安全性

根據預設,輸入和輸出都會流經公用 IP 位址。 視服務或拓撲而定,您可以設定這些位址或 Azure 指派這些位址。 其他輸入和輸出可能性包括透過負載平衡器或網路位址轉譯傳遞流量, (NAT) 閘道。 但這些服務適用于流量散發,不一定適用于安全性。

建議使用下列技術選擇:

  • Azure 防火牆。 您可以在網路邊緣和熱門網路拓撲中使用Azure 防火牆,例如中樞輪輻網路和虛擬 WAN。 您通常會將Azure 防火牆部署為輸出防火牆,做為流量進入網際網路之前的最終安全性閘道。 Azure 防火牆可以路由傳送使用非 HTTP 和非 HTTPS 通訊協定的流量,例如遠端桌面通訊協定 (RDP) 、安全殼層通訊協定 (SSH) ,以及 FTP) 檔案傳輸通訊 (協定。 Azure 防火牆的功能集包括:

    • 目的地網路位址轉譯 (DNAT) 或埠轉送。
    • 入侵偵測和防護系統 (IDPS) 簽章偵測。
    • 強式第 3 層、第 4 層和完整功能變數名稱 (FQDN) 網路規則。

    注意

    大部分的組織都有強制通道原則,可強制流量流經 NVA。

    如果您沒有使用虛擬 WAN 拓撲,則必須將 具有 NextHopTypeInternetUDR 部署至 NVA 的私人 IP 位址。 UDR 會在子網層級套用。 根據預設,子網對子網流量不會流經 NVA。

    您也可以同時使用Azure 防火牆進行輸入。 它可以路由傳送 HTTP 和 HTTPS 流量。 在較高階層的 SKU 中,Azure 防火牆提供 TLS 終止,以便實作承載層級檢查。

    建議使用下列做法:

    • 啟用Azure 防火牆中的診斷設定,以收集流量記錄、IDPS 記錄和 DNS 要求記錄。

    • 盡可能在特定規則中。

    • 在可行之處,請避免 FQDN 服務標籤。 但是當您使用這些變數時,請使用區域變體,以允許與服務的所有端點通訊。

    • 使用 IP 群組來定義在 IP 群組生命週期中必須共用相同規則的來源。 IP 群組應該反映您的分割策略。

    • 只有在您的工作負載需要絕對輸出控制時,才覆寫基礎結構 FQDN 允許規則。 覆寫此規則隨附可靠性取捨,因為 Azure 平臺需求會變更服務。

    取捨:Azure 防火牆可能會影響您的效能。 規則順序、數量、TLS 檢查和其他因素可能會導致顯著的延遲。

    也可以對工作負載的可靠性造成影響。 它可能會遇到來源網路位址轉譯 (SNAT) 埠耗盡。 若要協助克服此問題,請視需要新增公用 IP 位址。

    風險:針對輸出流量,Azure 會指派公用 IP 位址。 此指派可能會對外部安全性閘道造成下游影響。

  • Azure Web 應用程式防火牆。 此服務支援輸入篩選,且僅以 HTTP 和 HTTPS 流量為目標。

    它提供常見攻擊的基本安全性,例如開放全球應用程式安全性專案 (OWASP) 在 OWASP 前 10 個檔中識別的威脅。 Azure Web 應用程式防火牆也提供其他著重于第 7 層的安全性功能,例如速率限制、SQL 插入規則和跨網站腳本。

    使用 Azure Web 應用程式防火牆時,需要 TLS 終止,因為大部分的檢查都是以承載為基礎。

    您可以將 Azure Web 應用程式防火牆與路由器整合,例如Azure 應用程式閘道或 Azure Front Door。 這些路由器類型的 Azure Web 應用程式防火牆實作可能會有所不同。

Azure 防火牆和 Azure Web 應用程式防火牆不是互斥的選擇。 針對邊緣安全性解決方案,有各種選項可供使用。 如需範例,請參閱虛擬網路的防火牆和應用程式閘道

網路安全性群組

網路安全性群組是您在子網或網路介面卡上套用的第 3 層和第 4 層防火牆, (NIC) 層級。 預設不會建立或套用網路安全性群組。

網路安全性群組規則可作為防火牆 ,以停止在子網周邊進出的流量。 網路安全性群組具有過度寬鬆的預設規則集。 例如,預設規則不會從輸出觀點設定防火牆。 針對輸入,不允許輸入網際網路流量。

若要建立規則,請從預設規則集開始:

  • 針對 輸入 流量或輸入:
    • 允許來自直接、對等互連和 VPN 閘道來源的虛擬網路流量。
    • 允許Azure Load Balancer健康情況探查。
    • 所有其他流量都會遭到封鎖。
  • 針對 輸出 流量,或輸出:
    • 允許用於直接、對等互連和 VPN 閘道目的地的虛擬網路流量。
    • 允許網際網路的流量。
    • 所有其他流量都會遭到封鎖。

然後考慮下列五個因素:

  • 通訊協定
  • 來源 IP 位址
  • 來源連接埠
  • 目的地 IP 位址
  • 目的地連接埠

缺乏 FQDN 的支援會限制網路安全性群組功能。 您必須為您的工作負載提供特定的 IP 位址範圍,而且很難維護這些範圍。

但對於 Azure 服務,您可以使用 服務標籤 來摘要來源和目的地 IP 位址範圍。 服務標籤的安全性優點是使用者不 透明,而責任會卸載至 Azure。 您也可以將應用程式安全性群組指派為目的地類型,以路由傳送流量。 這種類型的具名群組包含具有類似輸入和輸出存取需求的資源。

風險:服務標籤範圍非常廣泛,因此可容納最廣泛的客戶範圍。 匯報服務標籤落後服務的變更。

顯示虛擬網路預設隔離與對等互連的圖表。

在上圖中,網路安全性群組會套用至 NIC。 網際網路流量和子網對子網流量遭到拒絕。 網路安全性群組會套用 標記 VirtualNetwork 。 因此,在此情況下,對等互連網路的子網會直接看見。 標籤的廣泛 VirtualNetwork 定義可能會對安全性造成重大影響。

當您使用服務標籤時,請盡可能使用區域版本,例如 Storage.WestUS ,而不是 Storage 。 藉由採用此方法,您可以將範圍限制在特定區域中的所有端點。

某些標籤專門用於 輸入輸出 流量。 其他則適用于 這兩 種類型。 輸入 標籤通常允許來自所有裝載工作負載的流量,例如 AzureFrontDoor.Backend 或從 Azure 支援服務執行時間,例如 LogicAppsManagement 。 同樣地, 輸出 標籤允許所有裝載工作負載的流量,或從 Azure 流向支援服務執行時間。

盡可能限定規則的範圍。 在下列範例中,規則會設定為特定值。 任何其他類型的流量都會遭到拒絕。

資訊 範例
通訊協定 傳輸控制通訊協定 (TCP) ,UDP
來源 IP 位址 允許從 < source-IP-address-range > 輸入子網:4575/UDP
來源連接埠 允許從 < 服務標籤 > 輸入子網:443/TCP
目的地 IP 位址 允許從子網輸出到 < destination-IP-address-range > :443/TCP
目的地連接埠 允許從子網輸出至 < 服務標籤 > :443/TCP

總結來說:

  • 當您建立規則時,請精確。 只允許應用程式運作所需的流量。 拒絕所有其他專案。 此方法會將網路線限制為支援工作負載作業所需的網路流程。 支援比必要更多的網路流程會導致不必要的攻擊向量,並擴充介面區。

    限制流量並不表示允許的流程超出攻擊範圍。 由於網路安全性群組在開放式系統互連 (OSI) 堆疊上的第 3 層和第 4 層運作,因此它們只會包含圖形和方向資訊。 例如,如果您的工作負載需要允許對網際網路的 DNS 流量,您會使用 的網路 Internet:53:UDP 安全性群組。 在此情況下,攻擊者可能會透過埠 53 上的 UDP 將資料外流至其他服務。

  • 瞭解網路安全性群組可能會彼此稍有不同。 很容易忽略差異的意圖。 若要進行細微篩選,建立額外的網路安全性群組會更安全。 至少設定一個網路安全性群組。

    • 新增網路安全性群組會解除鎖定許多診斷工具,例如流量記錄和網路流量分析。

    • 使用Azure 原則來協助控制沒有網路安全性群組之子網中的流量。

  • 如果子網支援網路安全性群組,請新增群組,即使其影響最小也一樣。

Azure 服務防火牆

大部分的 Azure 服務都提供服務層級防火牆。 此功能會從指定的無類別網域間路由 (CIDR) 範圍檢查服務的輸入流量。 這些防火牆提供優點:

  • 它們提供 基本層級的安全性
  • 有可容忍的效能影響
  • 大部分服務都會提供這些防火牆, 不需額外費用
  • 防火牆會透過 Azure 診斷發出記錄,這對於分析存取模式很有用。

但也有與這些防火牆相關聯的安全性考慮,而且有與提供參數相關聯的限制。 例如,如果您使用 Microsoft 裝載的組建代理程式,則必須開啟所有 Microsoft 裝載組建代理程式的 IP 位址範圍。 然後,範圍會開放給您的組建代理程式、其他租使用者,以及可能濫用服務的敵人。

如果您有服務的存取模式,這可以設定為服務防火牆規則集,您應該啟用服務。 您可以使用Azure 原則加以啟用。 如果預設未啟用信任的 Azure 服務選項,請確定您未啟用該選項。 這麼做會帶入規則範圍內的所有相依服務。

如需詳細資訊,請參閱個別 Azure 服務的產品檔。

私人端點

Private Link可讓您為 PaaS 實例提供私人 IP 位址。 服務接著無法透過網際網路連線。 所有 SKU 都不支援私人端點

當您使用私人端點時,請記住下列建議:

  • 設定系結至虛擬網路的服務,以 透過私人端點連絡 PaaS 服務,即使這些 PaaS 服務也需要提供公用存取。

  • 網路安全性群組用於私人端點,以限制對 私人端點 IP 位址的存取。

  • 當您使用私人端點時,請一律使用服務防火牆

  • 可能的話,如果您有只能透過私人端點存取的服務,請移除其公用端點的 DNS 組態。

  • 當您實作私人端點時,請考慮執行時間 視線考慮 。 但也會考慮 DevOps 和監視考慮

  • 使用Azure 原則來強制執行資源設定

取捨:具有私人端點的服務 SKU 成本很高。 私人端點可能會因為網路模糊而使作業複雜。 您必須將自我裝載代理程式、跳躍方塊、VPN 和其他元件新增至您的架構。

DNS 管理在常見的網路拓撲中可能很複雜。 您可能必須引進 DNS 轉寄站和其他元件。

虛擬網路插入

您可以使用 虛擬網路插入程式 ,將某些 Azure 服務部署至您的網路。 這類服務的範例包括Azure App 服務、Functions、Azure API 管理和 Azure Spring Apps。 此程式 會將應用程式與 網際網路、私人網路中的系統和其他 Azure 服務隔離。 根據網路規則,允許或拒絕來自應用程式的輸入和輸出流量。

Azure Bastion

您可以使用Azure Bastion,透過瀏覽器和Azure 入口網站來連線到 VM。 Azure Bastion 可增強 RDP 和 SSH 連線的安全性。 典型的使用案例包括連線到相同虛擬網路或對等互連虛擬網路中的跳躍方塊。 使用 Azure Bastion 可移除 VM 具有公用 IP 位址的需求。

Azure DDoS 保護

Azure 中的每個屬性都會受到 Azure DDoS 基礎結構保護的保護,不需額外的成本,而且不會新增任何設定。 保護層級是基本的,但保護具有高閾值。 它也不會提供遙測或警示,而且與工作負載無關。

DDoS 保護的階層式 SKU 可供使用,但並非免費。 全球部署的 Azure 網路的規模和容量可提供保護,以防止常見的網路層攻擊。 像是 Always-On 流量監視和即時風險降低等技術可提供這項功能。

如需詳細資訊,請參閱 Azure DDoS 保護概觀

範例

以下是一些範例,示範本文所建議的網路控制用法。

IT 環境

此範例是以資訊安全 基準 (SE:01 ) 中建立的資訊技術 (IT) 環境為基礎。 此方法可讓您廣泛瞭解在各種周邊套用的網路控制,以限制流量。

此圖顯示具有網路控制的組織安全性基準範例。

  1. 網路攻擊角色。 在網路攻擊中可能會考慮數個角色,包括系統管理員、員工、客戶的用戶端和匿名攻擊者。

  2. VPN 存取。 不良的動作專案可能會透過 VPN 或透過 VPN 連線至內部部署環境的 Azure 環境來存取內部部署環境。 使用 IPSec 通訊協定進行設定,以啟用安全通訊。

  3. 應用程式的公用存取權。 在應用程式前面 (WAF) Web 應用程式防火牆,以在網路 OSI 層的第 7 層保護它。

  4. 操作員存取。 必須保護透過網路 OSI 層第 4 層的遠端存取。 請考慮搭配 IDP/IDS 功能使用Azure 防火牆。

  5. DDoS 保護。 為您的整個 VNet 提供 DDoS 保護。

  6. 網路拓撲。 中樞輪輻之類的網路拓撲更安全,並將成本優化。 中樞網路可為所有對等互連輪輻提供集中式防火牆保護。

  7. 私人端點:請考慮使用私人端點,將公開的服務新增至私人網路。 這些會在私人 VNet 中建立網路卡 (NIC) ,並與 Azure 服務系結。

  8. TLS 通訊。 透過 TLS 通訊來保護傳輸中的資料。

  9. 網路安全性群組 (NSG) :使用 NSG 保護 VNet 內的區段,這是一項免費資源,可篩選考慮 IP 和埠範圍的 TCP/UDP 輸入和輸出通訊。 NSG 的一部分是應用程式安全性群組 (ASG) ,可讓您為流量規則建立標籤,以方便管理。

  10. Log Analytics。 Azure 資源會發出擷取在 Log Analytics 中的遙測,然後搭配 SIEM 解決方案使用,例如 Microsoft Sentinel 進行分析。

  11. Microsoft Sentinel 整合。 Log Analytics 與 Microsoft Sentinel 和其他解決方案整合,例如 Microsoft Defender for Cloud。

  12. 適用于雲端的 Microsoft Defender。 雲端Microsoft Defender提供許多工作負載保護解決方案,包括您環境的網路建議。

  13. 流量分析:使用流量分析監視您的網路控制。 這是透過網路監看員、Azure 監視器的一部分,以及匯總 NSG 所收集子網中的輸入和輸出點擊。

容器化工作負載的架構

此範例架構結合了本文中所述的網路控制項。 此範例不會顯示完整的架構。 相反地,它著重于私人雲端上的輸入控制項。

顯示受控制輸入的圖表,包括應用程式閘道、網路安全性群組、Azure Bastion 和 Azure DDoS 保護。

應用程式閘道是 Web 流量負載平衡器,可用來管理 Web 應用程式的流量。 您可以在具有網路安全性群組控制項和 Web 應用程式防火牆控制項的專用子網中部署應用程式閘道。

所有 PaaS 服務的通訊都是透過 私人端點進行。 所有端點都會放在專用子網中。 DDoS 保護可協助保護針對基本或更高層級防火牆保護所設定的所有公用 IP 位址。

透過 Azure Bastion 限制管理流量,可協助直接從透過 TLS Azure 入口網站,為您的 VM 提供安全且順暢的 RDP 和 SSH 連線。 組建代理程式會放在虛擬網路中,使其具有工作負載資源的網路檢視,例如計算資源、容器登錄和資料庫。 這種方法有助於為您的組建代理程式提供安全且隔離的環境,以提升程式碼和成品的保護。

此圖顯示網路安全性群組和Azure 防火牆的受控制輸出。

計算資源子網層級的網路安全性群組會限制輸出流量。 強制通道可用來透過Azure 防火牆路由傳送所有流量。 這種方法有助於為您的計算資源提供安全且隔離的環境,進而提升資料和應用程式的保護。

安全性檢查清單

請參閱一組完整的建議。

安全性檢查清單