التخطيط لتجزئة شبكة المنطقة المنتقل إليها
يستكشف هذا القسم التوصيات الرئيسية لتقديم تجزئة شبكة داخلية آمنة للغاية داخل منطقة هبوط لدفع تنفيذ ثقة معدومة للشبكة.
اعتبارات التصميم:
يفترض نموذج الثقة المعدومة حالة خرق ويتحقق من كل طلب كما لو كان ينشأ من شبكة غير خاضعة للرقابة.
يستخدم تنفيذ شبكة ثقة معدومة متقدما محيطا مصغرا من سحابة الدخول/الخروج موزعا بالكامل وتجزئة مصغرة أعمق.
يمكن لمجموعات أمان الشبكة (NSG) استخدام علامات خدمة Azure لتسهيل الاتصال بخدمات Azure PaaS.
لا تمتد مجموعات أمان التطبيقات (ASG) أو توفر الحماية عبر الشبكات الظاهرية.
يتم الآن دعم سجلات تدفق NSG من خلال قوالب Azure Resource Manager.
توصيات التصميم:
تفويض إنشاء الشبكة الفرعية إلى مالك المنطقة المنتقل إليها. سيؤدي ذلك إلى تمكينهم من تحديد كيفية تقسيم أحمال العمل عبر الشبكات الفرعية (على سبيل المثال، شبكة فرعية كبيرة واحدة أو تطبيق متعدد المستويات أو تطبيق تم حقنه بالشبكة). يمكن لفريق النظام الأساسي استخدام نهج Azure للتأكد من أن NSG ذات قواعد محددة (مثل رفض SSH الوارد أو RDP من الإنترنت، أو السماح/حظر نسبة استخدام الشبكة عبر المناطق المنتقل إليها) مقترن دائما بالشبكات الفرعية التي تحتوي على نهج الرفض فقط.
استخدم مجموعات أمان الشبكة للمساعدة في حماية نسبة استخدام الشبكة عبر الشبكات الفرعية، بالإضافة إلى نسبة استخدام الشبكة بين الشرق والغرب عبر النظام الأساسي (نسبة استخدام الشبكة بين المناطق المنتقل إليها).
يجب على فريق التطبيق استخدام مجموعات أمان التطبيقات على مستوى الشبكة الفرعية للمساعدة في حماية الأجهزة الظاهرية متعددة المستويات داخل المنطقة المنتقل إليها.
استخدم مجموعات أمان الشبكة ومجموعات أمان التطبيقات لنسبة استخدام الشبكة للمقطع الصغير داخل المنطقة المنتقل إليها وتجنب استخدام NVA مركزي لتصفية تدفقات نسبة استخدام الشبكة.
تمكين سجلات تدفق NSG وإطعامها في تحليلات نسبة استخدام الشبكة للحصول على رؤى حول تدفقات نسبة استخدام الشبكة الداخلية والخارجية. يجب تمكين سجلات التدفق على جميع الشبكات الظاهرية/الشبكات الفرعية الهامة في اشتراكك كأفضل ممارسة للتدقيق والأمان.
استخدم NSGs للسماح بشكل انتقائي بالاتصال بين المناطق المنتقل إليها.
بالنسبة لطوبولوجيا Virtual WAN، قم بتوجيه نسبة استخدام الشبكة عبر المناطق المنتقل إليها عبر جدار حماية Azure إذا كانت مؤسستك تتطلب إمكانات التصفية والتسجيل لنسبة استخدام الشبكة المتدفقة عبر المناطق المنتقل إليها.
إذا قررت مؤسستك تنفيذ التوجيه النفقي القسري (الإعلان عن المسار الافتراضي) إلى أماكن العمل، نوصي بتضمين قواعد NSG الصادرة التالية لرفض نسبة استخدام الشبكة الخارجة من الشبكات الظاهرية مباشرة إلى الإنترنت في حالة انخفاض جلسة BGP.
ملاحظة
ستحتاج أولويات القاعدة إلى تعديل بناء على مجموعة قواعد NSG الحالية.
| أولوية | الاسم | المصدر | الوجهة | الخدمة | إجراء | ملاحظة |
|---|---|---|---|---|---|---|
| 100 | AllowLocal |
Any |
VirtualNetwork |
Any |
Allow |
السماح بنسبة استخدام الشبكة أثناء العمليات العادية. مع تمكين التوجيه النفقي القسري، 0.0.0.0/0 يعتبر جزءا من العلامة VirtualNetwork طالما أن BGP يعلن عنها إلى ExpressRoute أو بوابة VPN. |
| 110 | DenyInternet |
Any |
Internet |
Any |
Deny |
رفض نسبة استخدام الشبكة مباشرة إلى الإنترنت إذا 0.0.0.0/0 تم سحب المسار من المسارات المعلن عنها (على سبيل المثال، بسبب انقطاع أو تكوين خاطئ). |
تنبيه
خدمات Azure PaaS التي يمكن إدخالها في شبكة ظاهرية ربما لا تتوافق مع التوجيه النفقي القسري. قد لا تزال عمليات وحدة التحكم تتطلب اتصالا مباشرا بعناوين IP عامة محددة حتى تعمل الخدمة بشكل صحيح. يوصى بالتحقق من وثائق الخدمة المحددة لمتطلبات الشبكات وإعفاء الشبكة الفرعية للخدمة في النهاية من نشر المسار الافتراضي. يمكن استخدام علامات الخدمة في UDR لتجاوز المسار الافتراضي وإعادة توجيه حركة مرور وحدة التحكم فقط، إذا كانت علامة الخدمة المحددة متوفرة.