使用零信任保護網路
巨量資料提供新的機會,以衍生新的深入解析並取得競爭優勢。 我們正在遠離一個時代,網路被明確定義,通常特定的特定位置。 雲端、行動裝置和其他 端點會 擴充界限並變更範例。 現在不一定會有要保護的已包含/定義網路。 相反地,雲端會連結大量的裝置和網路組合。
端對端零信任策略不認為企業防火牆背後一切都安全無虞,而是假設安全性缺口必定存在。 這表示您必須驗證每個要求,就好比將要求視為來自非受控網路,身分識別管理在此環節扮演關鍵角色。
在零信任模型中,談到保護您的網路,有三個重要目標:
在攻擊發生之前做好處理攻擊的準備。
將損壞程度及傳播速度降至最低。
增加危害您的雲端使用量的困難度。
為了做到這一點,我們遵循三個 零信任 原則:
明確驗證。 一律根據所有可用的資料點進行驗證和授權,包括使用者身分識別、位置、裝置健康情況、服務或工作負載、資料分類和異常情況。
使用最低權限存取權。 使用 Just-In-Time 和 Just-Enough-Access 限制使用者存取權(JIT/JEA)、風險型調適型原則,以及數據保護來保護數據和生產力。
假設可能遭到入侵。 依網路、使用者、裝置和應用程式意識來劃分存取權,以最小化入侵的爆發範圍,並防止水平擴散。 驗證所有工作階段皆為端對端的加密狀態。 使用分析來取得 可見度、推動威脅偵測,以及改善防禦。
網路零信任部署目標
在大多數組織開始其 零信任 旅程之前,他們具有下列特徵的網路安全性:
-
少數網路安全性周邊和開放式平面網路。
-
最低威脅防護和靜態流量篩選。
-
未加密內部流量。
|
實作保護網路的端對端零信任架構時,建議先專注於這些初始部署目標: |
|
|
|
|
|
達成以上目標之後,專注於下列額外的部署目標: |
|
|
|
IV. 網路分割:完全分散式輸入/輸出雲端微周邊,以及更深入的微分割。 V. 威脅防護:使用內容型訊號進行機器學習式威脅防護和篩選。 VI.加密:所有流量都會加密。 |
網路 零信任 部署指南
本指南將逐步引導您完成遵循 零信任 安全性架構原則來保護網路所需的步驟。
|
|
初始部署目標 |
I. 網路分割:具有一些微分割的許多輸入/輸出雲端微周邊
組織不應該只擁有一個單一的大型管道進出其網路。 在 零信任 方法中,網路會改為分割成包含特定工作負載的較小島嶼。 每個區段都有自己的輸入和輸出控件,以將未經授權存取數據的「爆破半徑」降到最低。 藉由使用細微的控制來實作軟體定義的周邊,您可以增加未經授權的執行者在整個網路傳播的難度,因此減少威脅橫向移動。
沒有任何架構設計符合所有組織的需求。 您可以根據 零信任 模型,在幾個常見的設計模式之間選擇分割網路。
在此部署指南中,我們將逐步引導您完成完成其中一項設計的步驟:微分割。
透過微分割,組織可以使用軟體定義的微周邊,超越簡單的集中式網路型周邊,以全面且分散式的分割。
應用程式會分割至不同的 Azure 虛擬網絡 (VNet),並使用中樞輪輻模型進行連線
執行下列步驟:
建立中央 VNet 來設定應用程式間連線的安全性狀態,並在中樞和輪輻架構中連線應用程式 VNet。
在中樞 VNet 中部署 Azure 防火牆,以檢查和管理 VNet 之間的流量。
II. 威脅防護:已知威脅的雲端原生篩選和保護
已開啟外部環境端點的雲端應用程式,例如因特網或內部部署使用量,都面臨來自這些環境的攻擊風險。 因此,您必須掃描流量是否有惡意承載或邏輯。
這些類型的威脅分為兩大類:
已知的攻擊。 軟體提供者或較大型社群探索到的威脅。 在這種情況下,可以使用攻擊簽章,而且您必須確定會針對這些簽章檢查每個要求。 關鍵是能夠使用任何新識別的攻擊快速更新您的偵測引擎。
未知的攻擊。 這些威脅與任何已知的簽章不完全相符。 這些類型的威脅包括要求流量中的零天弱點和不尋常的模式。 偵測這類攻擊的能力取決於您的防禦知道什麼是正常和什麼不是。 您的防禦應該持續學習和更新業務(和相關流量)等模式。
採取下列步驟來防範已知威脅:
針對具有 HTTP/S 流量的端點,請使用 Azure Web 應用程式防火牆 (WAF) 保護,方法是:
開啟預設規則集或 OWASP 前 10 個保護規則集,以防止已知的 Web 層攻擊
開啟 Bot 保護規則集,以防止惡意 Bot 擷取資訊、進行認證填充等。
新增自定義規則,以防止您企業特有的威脅。
您可以使用下列兩個選項之一:
-
在 Azure Front Door 上建立 Web 應用程式防火牆 原則。
設定 Web 應用程式防火牆的 Bot 保護。
-
使用 Web 應用程式防火牆 建立應用程式閘道。
設定 Web 應用程式防火牆的 Bot 保護。
建立和使用 v2 自定義規則 Web 應用程式防火牆。
針對所有端點 (HTTP 或非),請在第 4 層以威脅情報為基礎的篩選前面加上 Azure 防火牆:
提示
瞭解如何實作端點的端對端 零信任 策略。
III. 加密:使用者對應用程式內部流量已加密
要專注於的第三個初始目標是新增加密,以確保使用者對應用程式內部流量已加密。
執行下列步驟:
使用 Azure Front Door 將 HTTP 流量重新導向至 HTTPS,為您的因特網面向 Web 應用程式強制執行僅限 HTTPS 的通訊。
使用透過 Azure Bastion 的加密通訊安全地存取您的 Azure 虛擬機。
提示
瞭解如何實作應用程式的端對端 零信任 策略。
|
|
其他部署目標 |
IV. 網路分割:完全分散式輸入/輸出雲端微周邊和更深入的微分割
完成初始三個目標之後,下一個步驟是進一步分割您的網路。
將應用程式元件分割至不同的子網
執行下列步驟:
區隔並強制執行外部界限
視界限類型而定,請遵循下列步驟:
網際網路邊界
如果您需要透過中樞 VNet 路由傳送的應用程式使用因特網連線, 請更新中樞 VNet 中的網路安全組規則 以允許因特網連線。
開啟 Azure DDoS 保護標準 ,以保護中樞 VNet 免受大量網路層攻擊。
如果您的應用程式使用 HTTP/S 通訊協定,請開啟 Azure Web 應用程式防火牆 以防止第 7 層威脅。
內部部署界限
如果您的應用程式需要連線到內部部署數據中心,請使用 Azure VPN 的 Azure ExpressRoute 連線至中樞 VNet。
設定中樞 VNet 中的 Azure 防火牆,以檢查和管理流量。
PaaS 服務界限
- 使用 Azure 提供的 PaaS 服務 (例如,Azure 儲存體、Azure Cosmos DB 或 Azure Web 應用程式時,請使用 PrivateLink 連線選項來確保所有數據交換都是透過私人 IP 空間,且流量永遠不會離開Microsoft網路。
提示
瞭解如何實作數據的端對端 零信任 策略。
V. 威脅防護:使用以內容為基礎的訊號進行機器學習式威脅防護和篩選
如需進一步的威脅防護,請開啟 Azure DDoS 保護標準 ,以持續監視 Azure 裝載的應用程式流量、使用 ML 架構來基準和偵測大量流量洪水,並套用自動防護功能。
執行下列步驟:
設定和管理 Azure DDoS 保護標準。
VI. 加密:所有流量都會加密
最後,確保所有流量都已加密,以完成網路保護。
執行下列步驟:
加密內部部署與雲端之間的流量:
透過 ExpressRoute 設定站對站 VPN Microsoft對等互連。
VII. 停止舊版網路安全性技術
停止使用以簽章為基礎的網路入侵檢測/網路入侵預防(NIDS/NIPS)系統和網路數據外泄/外泄防護(DLP)。
主要的雲端服務提供者已經篩選出格式錯誤的封包和常見的網路層攻擊,因此不需要 NIDS/NIPS 解決方案來偵測這些攻擊。 此外,傳統的 NIDS/NIPS 解決方案通常是由簽章型方法所驅動(這被視為過時),攻擊者很容易逃避,而且通常會產生高誤判率。
網路型 DLP 在識別不小心和刻意的數據遺失時會逐漸有效。 這是因為最新型的通訊協定與攻擊者會使用網路層級加密來進行輸入與輸出通訊。 唯一可行的因應措施是「SSL 橋接」,它提供「授權的中間人」,以終止並重新建立加密的網路連線。 SSL 橋接方法已失利,因為執行解決方案的合作夥伴和所使用的技術所需的信任層級。
基於此理由,我們提供一項全面建議,讓您停止使用這些舊版網路安全性技術。 不過,如果您的組織體驗是這些技術對防止和偵測實際攻擊有明顯的影響,您可以考慮將它們移植到您的雲端環境。
本指南涵蓋的產品
Microsoft Azure
結論
保護網路是成功 零信任 策略的核心。 如需實作的進一步資訊或協助,請連絡您的客戶成功小組,或繼續閱讀本指南的其他章節,其涵蓋所有 零信任 要素。
零信任 部署指南系列
