Share via

將零信任準則套用至 Azure 虛擬 WAN 部署

  • 發行項

隨著新式雲端、行動裝置和其他端點的演進,只依賴公司防火牆和周邊網路已不再足夠。 端對端 零信任 策略假設安全性缺口是不可避免的。 這表示您必須驗證每個要求,就像是它來自未受控制的網路一般。 網路在 零信任 中仍扮演著重要角色,以連線及保護基礎結構、應用程式和數據。 在零信任模型中,談到保護您的網路,有三個重要目標:

  • 在攻擊發生之前做好處理攻擊的準備。
  • 將損壞程度及傳播速度降至最低。
  • 增加危害您的雲端使用量的困難度。

Azure 虛擬 WAN 允許 全域傳輸網路架構 ,方法是在虛擬網路(VNet)、分支月臺、SaaS 和 PaaS 應用程式和用戶之間,啟用全球分散式雲端工作負載集之間的任意對任意連線。 在 Azure 虛擬 WAN 中採用 零信任 方法非常重要,以確保您的骨幹安全且受到保護。

本文提供以下列方式將 零信任 原則套用至 Azure 虛擬 WAN 部署的步驟:

零信任 原則 定義 符合者
明確驗證 一律根據所有可用的資料點進行驗證及授權。 使用 Azure 防火牆 搭配傳輸層安全性 (TLS) 檢查,根據所有可用的數據來驗證風險和威脅。 條件式訪問控制旨在透過不同的數據點提供驗證和授權,而 Azure 防火牆 不會執行用戶驗證。
使用最低權限存取 使用 Just-In-Time 和 Just-Enough-Access (JIT/JEA)、風險型調適型原則和數據保護來限制使用者存取。 使用者存取權超出 Azure 網路基礎結構部署的範圍。 使用特殊許可權存取管理、條件式存取和其他控件等身分識別要素解決方案,就是以此原則傳遞的方式。
假設缺口 將爆炸半徑和區段存取降至最低。 確認端對端加密,運用分析來提升資訊透明度與威脅偵測,並改善防禦。 除非流量透過每個 Azure 虛擬 WAN 中樞內整合的防火牆路由傳送,否則每個輪輻 VNet 都無法存取其他輪輻 VNet。 防火牆預設會設定為拒絕,只允許指定規則允許的流量。 如果遭到入侵或違反一個應用程式/工作負載,由於 Azure 防火牆 執行流量檢查,且只轉送允許的流量,因此其傳播能力有限。 只有相同工作負載中的資源會公開至相同應用程式中的缺口。

如需如何在 Azure IaaS 環境中套用 零信任 原則的詳細資訊,請參閱將 零信任 原則套用至 Azure 基礎結構概觀

如需 零信任 的產業討論,請參閱 NIST 特別出版物 800-207

Azure Virtual WAN

Azure 虛擬 WAN 是一種網路服務,可將許多網路功能、安全性和路由功能結合在一起,以提供單一操作介面。 其中一些主要功能包括:

  • 進階路由功能
  • 透過中樞內 Azure 防火牆 或支援的網路虛擬設備 (NVA) 進行安全性「連線顛簸」整合
  • 加密的 ExpressRoute

Azure 虛擬 WAN 的 零信任 方法需要設定先前所列 零信任 準則數據表中的數個基礎服務和元件。 以下是步驟和動作的清單:

  • 在每個虛擬 WAN 中樞內部署 Azure 防火牆 或支援的新一代防火牆 (NGFW) NVA。
  • 設定 VNet 與內部部署分支路由,以建立 零信任 環境,方法是將所有流量傳送至中樞中的安全性設備以進行檢查。 設定路由以提供已知威脅的篩選和保護。
  • 請確定輪輻中沒有任何資源可直接存取因特網。
  • 在輪輻網路中提供應用程式微分割,以及輸入/輸出微周邊策略。
  • 提供網路安全性事件的可觀察性。

參考架構

下圖顯示常見的參考架構,示範常用的環境,以及如何將 零信任 原則套用至 Azure 虛擬 WAN。

Azure 虛擬桌面的參考架構圖表。

Azure 虛擬 WAN 可在基本和標準類型部署。 針對具有 Azure 防火牆 或 NGFW 的 Azure 虛擬 WAN 套用 零信任 原則需要標準類型。

具有安全中樞的 Azure 虛擬 WAN 參考架構包括:

  • 單一邏輯虛擬 WAN。
  • 兩個安全的虛擬中樞,每個區域一個。
  • Azure 防火牆 進階版 在每個中樞部署的實例。
  • 至少一個 Azure 防火牆 進階版 原則
  • 點對站 (P2S) 和站對站 (S2S) VPN 和 ExpressRoute 閘道。
  • P2S、S2S 和 ExpressRoute 連接的分支。
  • 共用服務 VNet 包含無法部署到虛擬 WAN 中樞的核心基礎結構資源,例如自定義 DNS VM 或 Azure DNS 私人解析程式、Active Directory 網域服務 [AD DS] 域控制器、Azure Bastion 和其他共享資源。
  • 具有 Azure 應用程式閘道、Azure Web 應用程式防火牆(WAF)和私人端點的工作負載 VNet 視需要。

Azure 虛擬 WAN 支援在其中樞內整合一組有限的第三方防火牆,作為原生 Azure 防火牆 的替代方案。 本文僅說明 Azure 防火牆。 參考架構中的 VNet-Shared Services 輪輻中包含的內容只是您可以部署的範例。 Microsoft 會管理 Azure 虛擬 WAN 中樞,除了明確允許 Azure 防火牆 和支援的 NVA 之外,您無法在其內安裝任何其他專案。

此參考架構符合虛擬 WAN 網路拓撲 雲端採用架構 文章中所述的架構原則

路由安全性

保護內部部署環境的路由傳播和隔離,是必須管理的重要安全性元素。

除了流量分割之外,路由安全性是任何網路安全性設計的重要部分。 路由協定是大部分網路不可或缺的一部分,包括 Azure。 您必須保護您的基礎結構,避免路由通訊協定的固有風險,例如設定錯誤或惡意攻擊。 用於 VPNExpressRoute 的 BGP 通訊協定提供非常豐富的保護網路,以防止不想要的路由變更,這可能包括太特定路由的廣告或太寬的路由。

保護網路的最佳方式是使用適當的 路由原則路由對應 來設定內部部署裝置,以確保只有允許的前置詞會從 Azure 傳播到您的網路。 例如,您可以:

  • 封鎖太泛型的輸入前置詞。

    如果 Azure 由於設定錯誤而開始傳送泛型前置詞,例如 0.0.0.0/0 或 10.0.0.0/8,可能會吸引可能保留在內部部署網路的流量。

  • 封鎖太特定的輸入前置詞。

    在某些情況下,您可能會從 Azure 取得一些較長的 IPv4 前置詞(網路前綴長度 30 到 32),這通常包含在其他較不特定的前置詞中,因此不需要。 卸除這些前置詞可防止您的內部部署路由表變得不必要的大型。

  • 除非您使用 Azure 作為傳輸網路,否則封鎖不在 Azure 中的輸入前置詞。

    如果您未使用 Azure 在內部部署位置之間傳輸流量(例如,使用 ExpressRoute Global Reach 等技術),則從 Azure 公告的內部部署前置詞會指出路由迴圈。 只有在內部部署路由器中取得 Azure 前置詞,才能保護您的路由迴圈類型。

  • 封鎖非內部部署的輸出前置詞。

    如果您未使用內部部署網路在 Azure 區域之間傳輸,就不應該向 Azure 公告您未使用內部部署的任何前置詞。 如果您沒有這麼做,您會遇到建立路由循環的風險,特別是考慮到大多數路由器中的 eBGP 實作會在非慣用連結上重新公告所有前置詞的事實。 除非您已設定 eBGP 多重路徑,否則這會影響將 Azure 前置詞傳送回 Azure。

邏輯架構

Azure 虛擬 WAN 是中樞內提供的中樞和服務集合。 您可以視需要部署多個虛擬 WAN。 在虛擬 WAN 中樞中,有多個服務,例如 VPN、ExpressRoute、Azure 防火牆 或第三方整合 NVA。

下圖顯示 Azure 虛擬 WAN 部署的 Azure 基礎結構邏輯架構,如 雲端採用架構 中所述

Azure 虛擬 WAN 拓撲和 Azure 訂用帳戶的元件圖表。

大部分的資源都包含在連線訂用帳戶內。 您可以將所有虛擬 WAN 資源部署到連線訂用帳戶中的單一資源群組,包括當您跨多個區域部署時。 Azure VNet 輪輻位於登陸區域訂用帳戶中。 如果您使用繼承和階層 Azure 防火牆 原則,父原則和子原則必須位於相同的區域中。 您仍然可以套用您在一個區域中從另一個區域在安全中樞上建立的原則。

本文的內容為何?

本文將逐步解說在 Azure 虛擬 WAN 參考架構中套用 零信任 原則的步驟。

步驟 Task 零信任 原則(s) 已套用
1 建立 Azure 防火牆原則。 明確驗證
假設缺口
2 將您的 Azure 虛擬 WAN 中樞轉換為受保護的中樞。 明確驗證
假設缺口
3 保護您的流量。 明確驗證
假設缺口
4 保護您的輪輻 VNet。 假設缺口
5 檢閱加密的使用。 假設缺口
6 保護您的 P2S 使用者。 假設缺口
7 設定監視、稽核和管理。 假設缺口

您必須依序執行步驟 1 和 2。 其他步驟可以依任何順序完成。

步驟 1:建立 Azure 防火牆 原則

對於傳統中樞和輪輻架構中的獨立 Azure 防火牆 部署,必須在 Azure 防火牆 Manager 中建立至少一個 Azure 原則,並與 Azure 虛擬 WAN 中樞相關聯。 轉換任何中樞之前,必須先建立並提供此原則。 定義原則之後,它會套用至步驟 2 中的 Azure 防火牆 實例。

Azure 防火牆 原則可以排列在父子式階層。 針對傳統中樞和輪輻案例或受控 Azure 虛擬 WAN,您應該使用一組常見的全 IT 安全性規則來定義根原則,以允許或拒絕流量。 然後,針對每個中樞,可以定義子原則,透過繼承來實作中樞特定的規則。 此步驟是選擇性的。 如果必須套用至每個中樞的規則都相同,則可以套用單一原則。

針對 零信任,需要 進階版 Azure 防火牆 原則,且應包含下列設定:

  • DNS Proxy – 您應該將 Azure 防火牆 設定為輪輻 VNet 的自定義 DNS 伺服器,以保護位於共用服務輪輻或內部部署中的實際 DNS。 Azure 防火牆可作為 DNS Proxy、接聽 UDP 連接埠 53,並將 DNS 要求轉送至原則設定中指定的 DNS 伺服器。 針對每個輪輻,您必須在虛擬網路層級設定 DNS 伺服器,指向虛擬 WAN 中樞內 Azure 防火牆 的內部 IP 位址。 您不應該將來自輪輻和分支的網路存取權授與自定義 DNS。

  • 應該針對下列案例啟用 TLS 檢查

    • 輸出 TLS 檢查 可防止從 Azure 中裝載的內部用戶端傳送至因特網的惡意流量。

    • 東西部 TLS 檢查 ,以包含往返內部部署分支的流量,以及虛擬 WAN 輪輻之間的流量,可保護您的 Azure 工作負載免於從 Azure 內傳送的潛在惡意流量。

  • 應以「警示和拒絕」模式啟用入侵檢測與預防系統(IDPS )。

  • 威脅情報 應在「警示和拒絕」模式中啟用。

在建立原則時,您必須建立必要的目的地網路位址轉換(DNAT)規則、網路規則和應用程式規則,才能只針對明確允許的流量啟用網路流程。 若要啟用所選取目標的 TLS 檢查,對應的應用程式規則必須啟用 [TLS 檢查] 設定。 在規則集合中建立規則時,您應該使用限制最嚴格的「目的地」和「目的地類型」。

步驟 2:將您的 Azure 虛擬 WAN 中樞轉換為安全的中樞

Azure 虛擬 WAN 零信任 方法的核心是安全虛擬 WAN 中樞(安全中樞)的概念。 安全中樞是具有整合式 Azure 防火牆 的 Azure 虛擬 WAN 中樞。 支援使用第三方支援的安全性設備作為替代 Azure 防火牆,但本文並未說明。 您可以使用這些虛擬設備來檢查所有南北、東西方和因特網系結流量。

建議您 Azure 防火牆 進階版 零信任,並使用步驟 1 中所述的 進階版 原則進行設定。

注意

安全中樞不支援使用 DDoS 保護

如需詳細資訊,請參閱在虛擬 WAN 中樞安裝 Azure 防火牆。

步驟 3:保護您的流量

將所有 Azure 虛擬 WAN 中樞升級為安全中樞之後,您必須設定 零信任 原則的路由意圖和原則。 此組態可讓每個中樞中的 Azure 防火牆,以吸引和檢查相同中樞和遠端中樞的輪輻與分支之間的流量。 您應該將原則設定為透過 Azure 防火牆 或第三方 NVA 傳送「因特網流量」和「私人流量」。 「中樞間」選項也必須啟用。 以下是範例。

Azure 防火牆 路由原則的範例。

啟用「私人流量」路由原則時,傳入和移出虛擬 WAN 中樞的 VNet 流量,包括中樞間流量,會轉送至原則中指定的下一個躍點 Azure 防火牆 或 NVA。 具有角色型 存取控制 (RBAC) 許可權的使用者可以覆寫輪輻 VNet 的虛擬 WAN 路由程式設計,並建立自定義使用者定義路由 (UDR) 以略過中樞防火牆的關聯。 若要防止此弱點, 將UDR指派給輪輻 VNet 子網的 RBAC 許可權 應限制為中央網路管理員,而不是委派給輪輻 VNet 的登陸區域擁有者。 若要將 UDR 與 VNet 或子網產生關聯,用戶必須具有 網路參與者 角色或自定義角色與 “Microsoft.Network/routeTables/join/action” 動作或許可權。

注意

在本文中,Azure 防火牆 主要考慮用於因特網流量和私人流量控制。 針對因特網流量,可以使用支持的安全性 NVA 或 第三方安全性即服務 (SECaaS) 提供者。 針對私人流量,第三方支援的安全性 NVA 可用來作為 Azure 防火牆 的替代方案。

注意

Azure 虛擬 WAN 中的自定義路由表 無法與路由意圖和原則搭配使用,不應被視為安全性選項。

步驟 4:保護您的輪輻 VNet

每個 Azure 虛擬 WAN 中樞都可以有一或多個 VNet 與 VNet 對等互連連線。 根據 雲端採用架構 中的登陸區域模型,每個 VNet 都包含支持組織的登陸區域工作負載、應用程式和服務。 Azure 虛擬 WAN 會管理連線、路由傳播和關聯,以及輸出和輸入路由,但不會影響 VNet 內部安全性。 零信任 原則必須根據中發佈的指導方針,在每個輪輻 VNet 內套用根據資源類型,將 零信任 原則套用至輪輻虛擬網路和其他文章,例如虛擬機和記憶體。 請考慮下列元素:

由於 Azure 虛擬 WAN 中的中樞已由 Azure 鎖定和管理,因此無法在該處安裝或啟用自定義元件。 一些通常部署在中樞內、傳統中樞和輪輻模型中的資源,必須放在一或多個作為共用資源網路的輪輻中。 例如:

  • Azure Bastion:Azure Bastion 支援 Azure 虛擬 WAN,但必須部署在輪輻虛擬網路內,因為中樞受到 Azure 的限制和管理。 從 Azure Bastion 輪輻中,使用者可以連線到其他 VNet 中的資源,但需要 Azure Bastion Standard SKU 可用的 IP 型連線
  • 自定義 DNS 伺服器: DNS 伺服器軟體可以安裝在任何虛擬機上,並做為 Azure 虛擬 WAN 中所有支點的 DNS 伺服器。 DNS 伺服器必須安裝在直接提供所有其他輪輻的輪輻 VNet 中,或透過虛擬 WAN 中樞內整合之 Azure 防火牆 所提供的 DNS Proxy 功能。
  • Azure 私用 DNS 解析程式:在聯機至虛擬 WAN 中樞的其中一個輪輻 VNet 內,支援部署 Azure 私用 DNS 解析程式。 在虛擬 WAN 中樞內整合的 Azure 防火牆,當您啟用 DNS Proxy 功能時,可以使用此資源作為自定義 DNS。
  • 私人端點: 此資源類型 與虛擬 WAN 相容 ,但必須部署在輪輻 VNet 內。 如果整合式 Azure 防火牆 允許流程,這會提供連線至相同虛擬WAN的任何其他虛擬網路或分支的連線。 如需如何使用虛擬 WAN 中樞內整合 Azure 防火牆 保護私人端點流量的指示,請參閱保護目的地為 Azure 虛擬 WAN 中私人端點的流量。
  • Azure 私用 DNS 區域(連結):這種類型的資源不會存在於虛擬網路內,但必須連結至它們才能正常運作。 私用 DNS 區域無法連結至虛擬 WAN 中樞。 相反地,它們應該連線到包含自定義 DNS 伺服器的輪輻 VNet 或 Azure 私用 DNS 解析程式(建議)或直接連線到需要該區域 DNS 記錄的輪輻 VNet。

步驟 5:檢閱您的加密

Azure 虛擬 WAN 透過自己的閘道提供一些流量加密功能,以供進入 Microsoft 網路的流量使用。 盡可能根據閘道類型啟用加密。 請考慮下列預設加密行為:

  • 虛擬 WAN S2S VPN 閘道在使用 IPsec/IKE (IKEv1 和 IKEv2) VPN 連線時提供加密。

  • 虛擬 WAN P2S VPN 閘道透過 OpenVPN 或 IPsec/IKE (IKEv2) 使用使用者 VPN 連線時提供加密。

  • 虛擬 WAN ExpressRoute 閘道不提供加密,因此會套用獨立 ExpressRoute 的相同考慮。

  • 對於整合至虛擬 WAN 中樞的第三方 軟體定義 WAN(SD-WAN)裝置和 NVA ,必須根據廠商的檔來驗證並設定特定的加密功能。

一旦流量透過其中一個閘道或 SD-WAN/NVA 進入 Azure 網路基礎結構,就沒有提供網路加密的特定虛擬 WAN 服務或功能。 如果中樞與其虛擬網路和中樞對中樞之間的流量未加密,您必須視需要使用應用層級加密。

注意

虛擬 WAN 輪輻不支援使用 Azure VPN 閘道 的 VNet 對 VNet 加密,因為輪輻需要使用虛擬 WAN 中樞遠端閘道。

步驟 6:保護您的 P2S 使用者

Azure 虛擬 WAN 是一種網路服務,可將許多網路功能、安全性和路由功能結合在一起,以提供單一操作介面。 從使用者身分識別的觀點來看,虛擬 WAN 的唯一 接觸點是在用來允許使用者 P2S VPN 的驗證方法中。 有數種驗證方法可供使用,但建議您遵循 Microsoft Entra 驗證的一般 零信任 原則。 使用 Microsoft Entra 識別符,您可以要求 Multi-Factor Authentication (MFA) 和條件式存取將 零信任 原則套用至用戶端裝置和使用者身分識別。

注意

Microsoft Entra 驗證僅適用於使用 OpenVPN 通訊協定的閘道,此通訊協定僅支援 OpenVPN 通訊協定連線,而且需要 Azure VPN 用戶端。

Azure 虛擬 WAN 和 Azure 防火牆 不會根據使用者帳戶或組名提供流量路由和篩選,但可以指派不同的使用者群組不同的 IP 位址集區。 接著,您可以在整合式 Azure 防火牆 上定義規則,以根據其指派的 P2S IP 位址池來限制使用者或群組。

如果您根據網路存取需求將 P2S 使用者分成不同的群組,建議您在網路層級區分它們,並確保他們只能存取內部網路的子集。 您可以為 Azure 虛擬 WAN 建立多個 IP 位址池。 如需詳細資訊,請參閱 設定 P2S 使用者 VPN 的使用者群組和 IP 位址池。

步驟 7:設定監視、稽核和管理

Azure 虛擬 WAN 透過 Azure 監視器提供廣泛的監視和診斷功能。 您可以使用名為「適用於虛擬 WAN 的 Azure 監視器深入解析」Azure 入口網站 中的焦點、預先建置、監視儀錶板來取得其他詳細數據和拓撲。 這些監視工具並非特定安全性。 在每個虛擬 WAN 中樞內部署 Azure 防火牆 會提供整合點來進行 零信任 和安全性監視。 您必須設定與虛擬 WAN 外部 Azure 防火牆 相同的 Azure 防火牆 診斷和記錄。

Azure 防火牆 提供下列監視工具,您應該用來確保 零信任 原則的安全性和正確應用:

  • Azure 防火牆 原則分析提供深入解析、集中式可見性,以及控制 Azure 防火牆。 安全性確實要求適當的防火牆規則已就緒且有效,以保護內部基礎結構。 Azure 入口網站摘要說明防火牆引擎 IDPS 和威脅情報功能所產生的「潛在惡意來源」詳細數據。

  • Azure 防火牆活頁簿提供用於 Azure 防火牆資料分析的彈性畫布。 您可以深入瞭解 Azure 防火牆 事件、瞭解您的應用程式和網路規則,以及查看跨 URL、埠和位址的防火牆活動的統計數據。 強烈建議您定期檢閱 IDPS 記錄統計數據以及從 [調查] 索引標籤、檢查拒絕的流量、來源和目的地流程,以及威脅情報報告,以檢閱和優化防火牆規則。

Azure 防火牆 也與 適用於雲端的 Microsoft DefenderMicrosoft Sentinel 整合。 強烈建議您正確地設定這兩個工具,並透過下列方式主動使用它們來進行 零信任:

  • 透過 適用於雲端的 Microsoft Defender整合,您可以在一個地方將網路基礎結構和網路安全性的全能狀態可視化,包括跨所有 VNet 的 Azure 網路安全性,以及分散在 Azure 中不同區域的虛擬中樞。 一目了然,您可以看到部署 Azure 防火牆 的 Azure 防火牆、防火牆原則和 Azure 區域數目。
  • 適用於無縫 Azure 防火牆整合的 Microsoft Sentinel 解決方案可提供威脅偵測和預防。 部署之後,解決方案可在 Microsoft Sentinel 之上允許內建的可自定義威脅偵測。 解決方案也包含活 頁簿、偵測、搜捕查詢和劇本

系統管理員訓練

下列訓練課程模組可協助小組具備將 零信任 原則套用至 Azure 虛擬 WAN 部署所需的技能。

Azure 虛擬 WAN 簡介

訓練 Azure 虛擬 WAN 簡介
描述如何使用軟體定義的 Azure 虛擬 WAN 網路服務來建構廣域網(WAN)。

開始 >

Azure 防火牆簡介

訓練 Azure 防火牆簡介
描述 Azure 防火牆 如何使用 Azure 防火牆 Manager 保護 Azure VNet 資源,包括 Azure 防火牆 功能、規則、部署選項和管理。

開始 >

Azure 防火牆管理員簡介

訓練 Azure 防火牆管理員簡介
說明您是否可以使用 Azure 防火牆管理員為您的雲端式安全界限提供集中的安全性原則及路由管理。 評估 Azure 防火牆管理員是否能協助您保護雲端界限的安全。

開始 >

設計和實作網路安全性

訓練 設計和實作網路安全性
您將瞭解如何設計和實作網路安全性解決方案,例如 Azure DDoS、網路安全性群組、Azure 防火牆及 Web 應用程式防火牆。

開始 >

如需 Azure 中安全性的更多訓練,請參閱 Microsoft 目錄中的這些資源:
Azure 中的安全性

後續步驟

請參閱下列其他文章,以將 零信任 原則套用至 Azure:

參考資料

請參閱這些連結,以瞭解本文所述的各種服務和技術。

Azure Virtual WAN

安全性基準

架構完善的架構檢閱

Azure 安全性

技術圖例

您可以下載本文中使用的圖例。 使用 Visio 檔案修改這些圖例以供您自己的使用。

PDF | Visio

如需其他技術圖例,請按兩下 這裡