共用方式為

網路和連線能力的建議

  • 發行項

適用於此 Azure 架構完善的架構安全性檢查清單建議:

SE:06 跨輸入和輸出流程隔離、篩選和控制網路流量。 在東西方和南北流量之間,使用所有可用網路界限的當地語系化網路控制來套用深度防禦原則。

本指南說明網路設計的建議。 重點是 安全性控制,可篩選、封鎖和偵測跨網路界限 的敵人,其深度位於您架構的各種深度。

您可以實作網路型訪問控制措施,以強化身分識別控制。 除了身分識別型訪問控制,網路安全性是保護資產的高優先順序。 適當的網路安全性控制可以提供深度防禦元素,以協助偵測和包含威脅,並防止攻擊者進入您的工作負載。

定義

術語 定義
東西流量 在信任界限內移動的網路流量。
輸出流程 輸出工作負載流量。
惡意網路 未部署為工作負載一部分的網路。 敵對網路被視為威脅向量。
輸入流程 輸入工作負載流量。
網路篩選 根據指定規則允許或封鎖網路流量的機制。
網路分割或隔離 將網路分成小型隔離區段的策略,並在界限上套用安全性控制。 這項技術有助於保護資源免於惡意網路,例如因特網。
網路轉換 將網路封包變動為遮蔽它們的機制。
南北交通 從信任界限移至潛在敵對外部網路的網路流量,反之亦然。

關鍵設計策略

網路安全性會使用 模糊性來保護工作負載資產免受惡意網路攻擊。 網路界限後方的資源會隱藏,直到界限控制將流量標示為安全可向前移動為止。 網路安全性設計是以三個主要策略為基礎所建置:

  • 區段。 這項技術 會藉由新增界限來隔離不同網路上的流量。 例如,來自應用層的流量會通過界限來與具有不同安全性需求的其他層通訊。 分割層可實作深度防禦方法。

    最重要的安全性界限是 您的應用程式與公用網路之間的網路邊緣。 請務必清楚定義此周邊,以便建立隔離敵對網路的界限。 此邊緣上的控件必須非常有效,因為此界限是您的第一道防線。

    虛擬網路提供邏輯界限。 根據設計,除非界限已刻意透過對等互連中斷,否則虛擬網路無法與另一個虛擬網路通訊。 您的架構應該利用這個強式平臺提供的安全性措施。

    您也可以使用其他邏輯界限,例如虛擬網路內的雕刻子網。 子網的優點是,您可以使用它們來將隔離界限內的資源分組在一起,並具有類似的安全性保證。 接著,您可以設定界限上的控件來篩選流量。

  • 篩選。 此策略可協助確保 進入界限的流量是預期、允許且安全的。 從零信任的觀點來看,篩選會明確驗證網路層級的所有可用數據點。 您可以將規則放在界限上,以檢查特定條件。

    例如,在標頭層級,規則可以驗證流量是否來自預期的位置或具有預期的磁碟區。 但這些檢查還不夠。 即使交通表現出預期的特性,承載可能不安全。 驗證檢查可能會顯示 SQL 插入式攻擊。

  • 轉換將界限上的封包變動為安全性量值。 例如,您可以移除 HTTP 標頭,以消除暴露的風險。 或者,您可以在某個時間點關閉傳輸層安全性 (TLS),並以更嚴格管理的憑證重新建立另一個躍點。

分類流量

分類流程的第一個步驟是研究工作負載架構的圖解。 從圖解中, 判斷流程 在工作負載的功能公用程式和作業層面的意圖和特性。 使用下列問題來協助分類流程:

  • 如果工作負載需要與外部網路通訊,這些網路的必要層級應該是什麼?

  • 流程的網路特性為何,例如預期的通訊協定和封包的來源和形狀? 網路層級是否有任何合規性需求?

有許多方式可分類流量。 下列各節將討論常用的準則。

從外部網路可見度

  • Public. 如果工作負載的應用程式和其他元件可從公用因特網連線,則工作負載會公開。 應用程式會透過一或多個公用IP位址和公用功能變數名稱系統 (DNS) 伺服器公開。

  • 私人。 如果工作負載只能透過虛擬專用網 (VPN) 等專用網進行存取,則工作負載是私人的。 它只會透過一或多個私人IP位址公開,而且可能透過私人 DNS 伺服器公開。

    在專用網中,沒有從公用因特網到工作負載的視線。 針對閘道,您可以使用負載平衡器或防火牆。 這些選項可以提供安全性保證。

即使有公用工作負載, 也努力盡可能保留大部分的工作負載私人。 此方法會強制封包從公用網路抵達時越過私人界限。 該路徑中的閘道可以做為轉換點,方法是做為反向 Proxy。

流量方向

  • 輸入。 輸入是流入工作負載或其元件的輸入流量。 若要協助保護輸入,請套用上述一組密鑰策略。 判斷流量來源是什麼,以及其是否預期、允許及安全。 如果您未檢查輸入或實作基本網路安全性措施,掃描公用雲端提供者IP位址範圍的攻擊者可以成功滲透防禦。

  • 輸出。 輸出是輸出流量,會流離工作負載或其元件。 若要檢查輸出,請判斷流量的前往位置,以及目的地是否預期、允許及安全。 目的地可能是惡意或與數據外泄風險相關聯。

此圖顯示 Azure 部署與因特網之間的網路流量流程。

您也可以 考慮工作負載與公用因特網的鄰近性,以判斷暴露程度。 例如,應用程式平臺通常會提供公用IP位址。 工作負載元件是解決方案的臉部。

影響範圍

  • 南北。 工作負載網路與外部網路之間流動的流量是南北流量。 此流量會越過網路的邊緣。 外部網路可以是公用因特網、公司網路,或超出控制範圍的任何其他網路。

    輸入和輸出可以是南北流量。

    例如,請考慮中樞輪輻網路拓撲的輸出流程。 您可以定義工作負載的網路邊緣,讓中樞是外部網路。 在此情況下,來自輪輻虛擬網路的輸出流量是南北流量。 但是,如果您考慮控制範圍內的中樞網路,南北流量會延伸到中樞中的防火牆,因為下一個躍點是因特網,這有可能是惡意的。

  • 東西。 工作負載網路內流動的流量是東西流量。 當工作負載中的元件彼此通訊時,這種類型的流量會產生。 例如,多層式應用程式層之間的流量。 在微服務中,服務對服務通訊是東西流量。

若要提供深度防禦,請維護 每個躍點中包含的安全性能供性端對端控制,或您在封包跨越內部區段時使用的安全性能供性。 不同的風險層級需要不同的風險補救方法。

此圖顯示私人雲端的網路防禦深度。

上圖說明私人雲端的網路防禦深度。 在此圖表中,公用與私人IP位址空間之間的框線明顯遠於公用雲端圖表中的工作負載。 多層會分隔 Azure 部署與公用 IP 位址空間。

注意

身分識別一律是主要周邊。 存取管理必須套用至網路流程。 當您在網路元件之間使用 Azure 角色型存取控制 (RBAC)時,請使用受控識別。

分類流程之後,請執行分割練習,以識別網路區段的通訊路徑上的防火牆插入點。 當您 跨所有區段和所有流量類型深入設計網路防禦時,假設所有點都有缺口。 在所有可用的界限上使用各種當地語系化網路控制件的組合。 如需詳細資訊,請參閱 分割策略

在邊緣套用防火牆

網際網路邊緣流量是南北流量,包括輸入和輸出。 若要偵測或封鎖威脅,邊緣策略必須盡可能減少來自網際網路的攻擊次數。

針對輸出, 透過單一防火牆 傳送所有因特網系結流量,以提供增強的監督、治理和控制流量。 針對輸入,強制來自網際網路的所有流量通過網路虛擬設備 (NVA) 或 Web 應用程式防火牆。

  • 防火牆通常是在組織中每個區域部署的單一防火牆。 因此,他們會在工作負載之間共用,並由中央小組擁有。 請確定您使用的任何 NVA 都已設定為支援工作負載的需求。

  • 我們建議您盡可能使用 Azure 原生控件。

    除了原生控件,您也可以考慮提供進階或特製化功能的合作夥伴 NVA。 合作夥伴防火牆和 Web 應用程式防火牆廠商產品可在 Azure Marketplace 中使用。

    使用原生功能而非合作夥伴解決方案的決定,應以您組織的經驗和需求為基礎。

    捨:合作夥伴功能通常會提供進階功能,以防止複雜的攻擊,但通常不常見。 合作夥伴解決方案的設定可能很複雜且脆弱,因為這些解決方案不會與雲端的網狀架構控制器整合。 從成本的觀點來看,原生控件是慣用的,因為它比合作夥伴解決方案便宜。

您考慮的任何技術選項都應該為輸入和輸出流程提供安全性控制與監視。 若要查看 Azure 可用的選項,請參閱 本文中的 Edge 安全性 一節。

設計虛擬網路和子網安全性

私人雲端的主要目標是遮蔽公用因特網的資源。 有數種方式可達成此目標:

  • 移至私人IP位址空間,您可以使用虛擬網路來完成此空間。 即使在您自己的專用網內,也能將網路視線降到最低。

  • 將您用來 公開較少工作負載的公用 DNS 項目數目降到最低。

  • 新增輸入和輸出網路流量控制。 不允許不信任的流量。

分割策略

若要將網路可見度降到最低, 請分割您的網路,並從最低許可權的網路控制開始。 如果區段無法路由傳送,就無法存取它。 擴大範圍,只包含需要透過網路存取彼此通訊的區段。

您可以藉由建立子網來區隔虛擬網路。 除法準則應該是刻意的。 當您在子網內共置服務時,請確定這些服務可以彼此看到。

您可以根據許多因素來分割。 例如,您可以將不同的應用層放在專用區段中。 另一種方法是根據使用已知通訊協定的一般角色和函式來規劃子網。

如需詳細資訊,請參閱 分割策略

子網防火牆

請務必檢查每個子網的輸入和輸出流量。 使用本文稍早討論的三個主要策略,在主要設計策略。 檢查流程是否預期、允許及安全。 若要驗證這項資訊, 請定義以流量通訊協定、來源和目的地 為基礎的防火牆規則。

在 Azure 上,您會在網路安全組中設定防火牆規則。 如需詳細資訊,請參閱 本文中的網路安全組 一節。

如需子網設計的範例,請參閱 Azure 虛擬網絡 子網

在元件層級使用控制件

將網路可見度降到最低之後,請從網路觀點來對應您的 Azure 資源,並評估流程。 以下是可能的流程類型:

  • 根據您的架構設計,規劃的流量,或服務之間的刻意通訊。 例如,當您的架構建議 Azure Functions 從 Azure 服務匯流排 提取訊息時,您已規劃流量。

  • 管理流量,或作為服務功能的一部分發生的通訊。 此流量不是您設計的一部分,而且您無法控制該流量。 受控流量的範例是架構中的 Azure 服務與 Azure 管理平面之間的通訊。

區分計劃和管理流量,可協助您建置當地語系化或服務層級的控件。 深入瞭解每個躍點的來源和目的地。 特別了解數據平面的公開方式。

作為起點,判斷每個服務是否向因特網公開。 如果是,請規劃如何限制存取。 如果不是,請將它放在虛擬網路中。

服務防火牆

如果您預期服務會公開至因特網, 請利用大部分 Azure 資源可用的服務層級防火牆。 當您使用此防火牆時,您可以根據存取模式來設定規則。 如需詳細資訊,請參閱 本文中的 Azure 服務防火牆 一節。

注意

當您的元件不是服務時,除了網路層級防火牆之外,請使用主機型防火牆。 虛擬機 (VM) 是不是服務的元件範例。

與平臺即服務 (PaaS) 服務的連線

請考慮使用 私人端點來協助保護 PaaS 服務的存取。 私人端點會從您的虛擬網路指派私人IP位址。 端點可讓網路中的其他資源透過私人IP位址與 PaaS 服務通訊。

使用服務的公用IP位址和 DNS 記錄來達成與 PaaS 服務的通訊。 該通訊會透過因特網進行。 您可以將該通訊設為私人。

從 PaaS 服務到其中一個子網的通道會建立私人通道。 所有通訊都會從元件的私人IP位址到該子網中的私人端點,然後與 PaaS 服務通訊。

在此範例中,左側的影像會顯示公開端點的流程。 右側會使用私人端點來保護該流程。

顯示私人端點如何協助保護資料庫免於因特網用戶的圖表。

如需詳細資訊,請參閱 本文中的私人端點 一節。

注意

建議您搭配服務防火牆使用私人端點。 服務防火牆會封鎖連入因特網流量,然後將服務私下公開給使用私人端點的內部使用者。

使用私人端點的另一個優點是,您不需要在防火牆上開啟埠以供輸出流量使用。 私人端點會鎖定公用因特網埠上的所有輸出流量。 線上僅限於網路內的資源。

捨:Azure Private Link 是付費服務,其中包含已處理輸入和輸出數據的計量。 您也需支付私人端點的費用。

防範分散式阻斷服務 (DDoS) 攻擊

DDoS 攻擊會嘗試耗盡應用程式的資源,讓合法使用者無法使用應用程式。 DDoS 攻擊可以鎖定可透過因特網公開連線的任何端點。

DDoS 攻擊通常是大量、廣泛、分散的濫用系統資源,使得很難找出並封鎖來源。

如需協助防止這些攻擊的 Azure 支援,請參閱本文中的 Azure DDoS 保護一節。

Azure 促進

您可以使用下列 Azure 服務,將深度防禦功能新增至您的網路。

Azure 虛擬網路

虛擬網絡 可協助 Azure 資源安全地彼此通訊、因特網和內部部署網路。

根據預設,虛擬網路中的所有資源都可以與因特網進行輸出通訊。 但預設會限制輸入通訊。

虛擬網絡 提供篩選流量的功能。 您可以使用使用者定義的路由 (UDR) 和防火牆元件,限制虛擬網路層級的存取。 在子網層級,您可以使用網路安全組來篩選流量。

Edge 安全性

根據預設,輸入和輸出都會流經公用IP位址。 視服務或拓撲而定,您設定這些位址或 Azure 會指派這些位址。 其他輸入和輸出可能性包括透過負載平衡器或網路位址轉換 (NAT) 網關傳遞流量。 但這些服務適用於流量散發,不一定是為了安全性。

建議使用下列技術選項:

  • Azure 防火牆。 您可以在網路邊緣和熱門的網路拓撲中使用 Azure 防火牆,例如中樞輪輻網路和虛擬 WAN。 您通常會將 Azure 防火牆 部署為輸出防火牆,以作為流量進入因特網之前的最終安全性閘道。 Azure 防火牆 可以路由傳送使用非 HTTP 和非 HTTPS 通訊協定的流量,例如遠端桌面通訊協定(RDP)、安全殼層通訊協定(SSH)和文件傳輸通訊協定(FTP)。 功能集 Azure 防火牆 包括:

    • 目的地網路位址轉換 (DNAT), 或埠轉送。
    • 入侵檢測與預防系統 (IDPS) 簽章檢測。
    • 強式第 3 層、第 4 層和完整功能變數名稱 (FQDN) 網路規則。

    注意

    大部分的組織都有強制通道原則,可強制流量流經 NVA。

    如果您沒有使用虛擬 WAN 拓撲,則必須將 具有 NextHopTypeInternet UDR 部署至 NVA 的私人 IP 位址。 UDR 會在子網層級套用。 根據預設,子網對子網流量不會流經 NVA。

    您也可以同時使用 Azure 防火牆 進行輸入。 它可以路由傳送 HTTP 和 HTTPS 流量。 在較高階層的 SKU 中,Azure 防火牆 提供 TLS 終止,讓您可以實作承載層級檢查。

    建議使用下列作法:

    • 啟用 Azure 防火牆 中的診斷設定,以收集流量記錄、IDPS 記錄和 DNS 要求記錄。

    • 盡可能在規則中指定。

    • 在實際的情況下,請避免 FQDN 服務標籤。 但是,當您使用它們時,請使用區域變體,以允許與服務的所有端點進行通訊。

    • 使用IP群組來定義必須在IP群組生命週期中共用相同規則的來源。 IP 群組應該反映您的分割策略。

    • 只有在工作負載需要絕對輸出控制時,才覆寫基礎結構 FQDN 允許規則。 覆寫此規則隨附可靠性取捨,因為 Azure 平臺需求會變更服務。

    捨:Azure 防火牆 可能會影響您的效能。 規則順序、數量、TLS 檢查和其他因素可能會導致顯著的延遲。

    也可能會影響工作負載的可靠性。 它可能會遇到來源網路位址轉換 (SNAT) 埠耗盡。 若要協助克服此問題,請視需要新增公用IP位址。

    風險:針對輸出流量,Azure 會指派公用IP位址。 此指派可能會對您的外部安全性網關造成下游影響。

  • Azure Web 應用程式防火牆。 此服務支援輸入篩選,且僅以 HTTP 和 HTTPS 流量為目標。

    它提供常見攻擊的基本安全性,例如 OWASP 前 10 名檔中 Open Worldwide Application Security Project (OWASP) 所識別的威脅。 Azure Web 應用程式防火牆 也提供著重於第 7 層的其他安全性功能,例如速率限制、SQL 插入規則和跨網站腳本。

    使用 Azure Web 應用程式防火牆 時,需要 TLS 終止,因為大部分的檢查都是以承載為基礎。

    您可以將 Azure Web 應用程式防火牆 與路由器整合,例如 Azure 應用程式閘道 或 Azure Front Door。 這類路由器的 Azure Web 應用程式防火牆 實作可能會有所不同。

Azure 防火牆 和 Azure Web 應用程式防火牆 並非互斥的選擇。 針對您的邊緣安全性解決方案,有各種選項可供使用。 如需範例,請參閱虛擬網路的防火牆和 應用程式閘道。

網路安全性群組

網路安全組是您在子網或網路適配器 (NIC) 層級套用的第 3 層和第 4 層防火牆。 預設不會建立或套用網路安全組。

網路安全組規則可作為防火牆 ,以停止在子網周邊進出的流量。 網路安全組的默認規則集過於寬鬆。 例如,默認規則不會從輸出觀點設定防火牆。 針對輸入,不允許輸入因特網流量。

若要建立規則,請從預設規則集開始:

  • 針對 輸入 流量,或輸入:
    • 允許來自直接、對等互連和 VPN 閘道來源的虛擬網路流量。
    • 允許 Azure Load Balancer 健康情況探查。
    • 所有其他流量都會遭到封鎖。
  • 針對 輸出 流量,或輸出:
    • 允許虛擬網路流量導向、對等互連和 VPN 閘道目的地。
    • 允許因特網的流量。
    • 所有其他流量都會遭到封鎖。

然後考慮下列五個因素:

  • 通訊協定
  • 來源 IP 位址
  • 來源連接埠
  • 目的地 IP 位址
  • 目的地連接埠

FQDN 缺乏支援會限制網路安全組功能。 您必須為工作負載提供特定的IP位址範圍,而且很難維護。

但對於 Azure 服務,您可以使用 服務標籤 來摘要來源和目的地 IP 位址範圍。 服務卷標的安全性優點是使用者 不透明,且責任會卸除至 Azure。 您也可以將應用程式安全組指派為目的地類型,以將流量路由傳送至 。 這種類型的具名群組包含具有類似輸入或輸出存取需求的資源。

風險:服務標籤範圍非常廣泛,因此可容納最廣泛的客戶範圍。 服務標籤的更新落後於服務中的變更。

顯示虛擬網路預設隔離與對等互連的圖表。

在上圖中,網路安全組會套用至 NIC。 因特網流量和子網對子網流量遭到拒絕。 網路安全組會套用標記 VirtualNetwork 。 因此,在此情況下,對等互連網路的子網有直接的視線。 標記的廣泛 VirtualNetwork 定義可能會對安全性產生重大影響。

當您使用服務標籤時,請盡可能使用區域版本,例如 Storage.WestUS ,而不是 Storage。 藉由採用這種方法,您可以將範圍限制在特定區域中的所有端點。

某些標籤僅針對 輸入輸出 流量。 其他則適用於 這兩 種類型。 輸入 標籤通常允許來自所有載入工作負載的流量,例如 AzureFrontDoor.Backend, 或從 Azure 支援服務執行時間,例如 LogicAppsManagement。 同樣地, 輸出 標籤允許流量流向所有裝載工作負載,或從 Azure 支援服務運行時間。

盡可能設定規則的範圍。 在下列範例中,規則會設定為特定值。 任何其他類型的流量都會遭到拒絕。

資訊 範例
通訊協定 傳輸控制通訊協定 (TCP), UDP
來源 IP 位址 允許從 <source-IP-address-range> 輸入子網:4575/UDP
來源連接埠 允許從 <服務卷標>輸入子網:443/TCP
目的地 IP 位址 允許從子網輸出到 <destination-IP-address-range>:443/TCP
目的地連接埠 允許從子網輸出至 <服務標籤>:443/TCP

總括來說:

  • 當您建立規則時,請精確。 只允許應用程式運作所需的流量。 拒絕其他一切。 此方法會將網路視線限制為支援工作負載作業所需的網路流程。 支援比必要更多的網路流程會導致不必要的攻擊向量並擴充介面區。

    限制流量並不表示允許的流程超出攻擊範圍。 因為網路安全組在開放系統互連 (OSI) 堆疊上第 3 層和第 4 層運作,所以它們只會包含圖形和方向資訊。 例如,如果您的工作負載需要允許 DNS 流量到因特網,您會使用 的網路 Internet:53:UDP安全組。 在此情況下,攻擊者可能會透過埠 53 上的 UDP 將數據外洩至其他服務。

  • 了解網路安全組可能會彼此稍有不同。 很容易忽略差異的意圖。 若要進行細微篩選,建立額外的網路安全組會更安全。 至少設定一個網路安全組。

    • 新增網路安全組會解除鎖定許多診斷工具,例如流量記錄和網路使用分析。

    • 使用 Azure 原則 來協助控制沒有網路安全組的子網中的流量。

  • 如果子網支持網路安全組,請新增群組,即使其影響最小也一樣。

Azure 服務防火牆

大部分的 Azure 服務都提供服務等級防火牆。 此功能會從指定的無類別網路變數間路由 (CIDR) 範圍檢查服務的輸入流量。 這些防火牆提供優點:

  • 它們提供 基本層級的安全性
  • 可容忍的效能影響
  • 大部分的服務都提供這些防火牆, 不需額外費用
  • 防火牆會透過 Azure 診斷發出記錄,這對於分析存取模式很有用。

但也有與這些防火牆相關聯的安全性考慮,而且有與提供參數相關聯的限制。 例如,如果您使用Microsoft裝載的組建代理程式,則必須為所有Microsoft裝載的組建代理程序開啟IP位址範圍。 然後,此範圍會開啟至您的組建代理程式、其他租使用者,以及可能會濫用您服務的對手。

如果您有可設定為服務防火牆規則集的服務存取模式,則應該啟用服務。 您可以使用 Azure 原則 來啟用它。 如果預設未啟用信任的 Azure 服務選項,請確定您未啟用信任的 Azure 服務選項。 這麼做會帶入規則範圍內的所有相依服務。

如需詳細資訊,請參閱個別 Azure 服務的產品檔。

私人端點

Private Link 可讓您為 PaaS 實例提供私人 IP 位址。 然後,服務無法透過因特網連線。 所有 SKU 都不支援私人端點

當您使用私人端點時,請記住下列建議:

  • 設定系結至虛擬網路的服務,以 透過私人端點連絡 PaaS 服務,即使這些 PaaS 服務也需要提供公用存取。

  • 將網路安全組用於 私人端點,以限制私人端點 IP 位址的存取

  • 當您使用私人端點時,請一律使用服務防火牆。

  • 可能的話,如果您有只能透過私人端點存取的服務,請移除其公用端點的 DNS 組態。

  • 當您實作私人端點時,請考慮運行時間 視線考慮 。 但也請考慮 DevOps和監視考慮

  • 使用 Azure 原則 來強制執行資源設定

捨:具有私人端點的服務 SKU 成本很高。 私人端點可能會因為網路模糊而使作業複雜化。 您必須將自我裝載的代理程式、跳躍方塊、VPN 和其他元件新增至您的架構。

DNS 管理在常見的網路拓撲中可能很複雜。 您可能必須介紹 DNS 轉寄站和其他元件。

虛擬網路插入

您可以使用 虛擬網路插入程式 ,將某些 Azure 服務部署至您的網路。 這類服務的範例包括 Azure App 服務、Functions、Azure API 管理 和 Azure Spring Apps。 此程式 會將應用程式 與因特網、專用網中的系統和其他 Azure 服務隔離。 根據網路規則,允許或拒絕來自應用程式的輸入和輸出流量。

Azure Bastion

您可以使用您的瀏覽器和 Azure 入口網站,使用 Azure Bastion 連線到 VM。 Azure Bastion 可增強 RDP 和 SSH 連線的安全性。 一般使用案例包括連線到相同虛擬網路或對等互連虛擬網路中的跳躍方塊。 使用 Azure Bastion 可移除 VM 具有公用 IP 位址的需求。

Azure DDoS 保護

Azure 中的每個屬性都會受到 Azure DDoS 基礎結構保護,不需額外費用,而且不會新增設定。 保護層級是基本的,但保護具有較高的閾值。 它也不會提供遙測或警示,而且與工作負載無關。

較高階層的 DDoS 保護 SKU 可供使用,但並非免費。 全球部署的 Azure 網路的規模和容量可提供保護,以防止常見的網路層攻擊。 Always-On 流量監視和實時風險降低等技術可提供這項功能。

如需詳細資訊,請參閱 Azure DDoS 保護概觀

範例

以下是一些範例,示範本文中建議的網路控件使用方式。

IT 環境

此範例是以安全性基準 (SE:01) 中建立的資訊技術 (IT) 環境為基礎。 此方法可讓您廣泛了解在各種周邊套用的網路控制,以限制流量。

此圖顯示具有網路控制之組織安全性基準的範例。

  1. 網路攻擊角色。 在網路攻擊中,可能會考慮數個角色,包括系統管理員、員工、客戶的用戶端和匿名攻擊者。

  2. VPN 存取。 不良動作專案可能會透過 VPN 或透過 VPN 連線至內部部署環境的 Azure 環境來存取內部部署環境。 使用IPSec通訊協議進行設定,以啟用安全的通訊。

  3. 應用程式的公用存取權。 在應用程式前面有 Web 應用程式防火牆 (WAF),以在網路 OSI 層的第 7 層保護它。

  4. 操作員存取。 必須保護透過網路 OSI 層第 4 層的遠端訪問。 請考慮搭配IDP/IDS功能使用 Azure 防火牆。

  5. DDoS 保護。 為您的整個 VNet 提供 DDoS 保護。

  6. 網路拓撲。 中樞輪輻之類的網路拓撲更安全,並優化成本。 中樞網路可為所有對等互連輪輻提供集中式防火牆保護。

  7. 私人端點:請考慮使用私人端點,將公開的服務新增至您的專用網。 這些會在私人 VNet 中建立網路卡 (NIC),並與 Azure 服務系結。

  8. TLS 通訊。 透過 TLS 進行通訊來保護傳輸中的數據。

  9. 網路安全組 (NSG):使用 NSG 保護 VNet 內的區段,這是一項免費資源,可篩選考慮 IP 和埠範圍的 TCP/UDP 輸入和輸出通訊。 NSG 的一部分是應用程式安全組(ASG),可讓您為流量規則建立標籤,以方便管理。

  10. Log Analytics。 Azure 資源會發出擷取在Log Analytics中的遙測,然後搭配SIEM解決方案使用,例如 Microsoft Sentinel 進行分析。

  11. Microsoft Sentinel 整合。 Log Analytics 與 Microsoft Sentinel 和其他解決方案整合,例如 適用於雲端的 Microsoft Defender。

  12. 適用於雲端的 Microsoft Defender。 適用於雲端的 Microsoft Defender 提供許多工作負載保護解決方案,包括您環境的網路建議。

  13. 使用分析:使用使用分析監視您的網路控制。 這是透過 網路監看員、Azure 監視器的一部分來設定,並匯總 NSG 所收集子網中的輸入和輸出叫用。

容器化工作負載的架構

此範例架構結合了本文中所述的網路控件。 此範例不會顯示完整的架構。 相反地,它著重於私人雲端上的輸入控件。

顯示受控制輸入的圖表,包括 應用程式閘道、網路安全組、Azure Bastion 和 Azure DDoS 保護。

應用程式閘道 是 Web 流量負載平衡器,可用來管理 Web 應用程式的流量。 您可以在具有網路安全組控制和 Web 應用程式防火牆控件的專用子網中部署 應用程式閘道。

所有 PaaS 服務的通訊都是透過 私人端點進行。 所有端點都會放在專用子網中。 DDoS 保護可協助保護針對基本或更高層級防火牆保護所設定的所有公用IP位址。

管理流量會透過 Azure Bastion 進行限制,這有助於透過 TLS 直接從 Azure 入口網站,提供安全且順暢的 RDP 和 SSH 連線。 組建代理程式會放在虛擬網路中,使其具有工作負載資源的網路檢視,例如計算資源、容器登錄和資料庫。 此方法可協助為您的組建代理程式提供安全且隔離的環境,以提升程式代碼和成品的保護。

顯示網路安全組和 Azure 防火牆 受控制輸出的圖表。

計算資源子網層級的網路安全組會限制輸出流量。 強制通道可用來透過 Azure 防火牆 路由傳送所有流量。 此方法可協助您為計算資源提供安全且隔離的環境,以提升數據與應用程式的保護。

安全性檢查清單

請參閱一組完整的建議。

安全性檢查清單