Služby Azure pro zabezpečení připojení k síti

  • Článek
  • 11 min ke čtení

Často se stává, že úloha a podpůrné komponenty cloudové architektury budou potřebovat přístup k externím prostředkům. Těmito prostředky mohou být místní prostředky, zařízení mimo hlavní virtuální síť nebo jiné prostředky Azure. Tato připojení mohou být přes internet nebo sítě v rámci organizace.

Klíčové body

  • Chraňte služby, které nejsou veřejně přístupné, pomocí síťových omezení a brány firewall protokolu IP.
  • Pomocí skupin zabezpečení sítě (NSG) nebo Azure Firewall k ochraně a řízení provozu v rámci virtuální sítě.
  • Pro přístup ke službám Azure PaaS Private Link koncové body služby nebo koncové body služby.
  • Použijte Azure Firewall k ochraně před útoky na exfiltraci dat.
  • Omezte přístup k back-end službám na minimální sadu veřejných IP adres, pouze na ty služby, které je skutečně potřebují.
  • Využijte ovládací prvky Azure nad řešeními třetích stran pro základní potřeby zabezpečení. Snadno se konfiguruje a škáluje.
  • Definujte zásady přístupu na základě typu úloh a toku řízení mezi různými aplikačními vrstvami.

Připojení mezi segmenty sítě

Při návrhu úlohy obvykle začnete zřízením služby Azure Virtual Network (VNet) v adresní prostoru privátních adres, kde je úloha. Ve výchozím nastavení není mezi dvěma virtuálními sítěmi povolen žádný provoz. Pokud je to potřeba, definujte komunikační cesty explicitně. Jedním ze způsobů propojení virtuálních sítí je peering virtuálních sítí.

Klíčovým aspektem je ochrana virtuálních počítače ve virtuální síti. Síťová rozhraní virtuálních počítačů jim umožňují komunikovat s jinými virtuálními počítači, internetem a místními sítěmi. Pokud chcete řídit provoz na virtuálních počítači v rámci virtuální sítě (a podsítě), použijte skupiny zabezpečení aplikací (ASG). Sadu virtuálních počítače můžete seskupit pod značku aplikace a definovat pravidla provozu. Tato pravidla se pak použijí na všechny základní virtuální počítače.

Virtuální síť je segmentovaná do podsítí na základě obchodních požadavků. Poskytovat správné ovládací prvky zabezpečení sítě, které povolují nebo zakírají příchozí síťový provoz do nebo z odchozího síťového provozu v rámci většího síťového prostoru.

Virtuální počítače můžete také zřídit s privátními IP adresami pro zajištění ochrany. Využijte výhod IP adresy Azure k určení příchozího provozu, jak a kam se přeloží do virtuální sítě.

Dobré schéma přidělování IP adres v Azure vám zajistí flexibilitu, prostor pro růst a integraci do místních sítí. Schéma zajistí funkční komunikaci u nasazených prostředků, minimalizuje veřejný přístup k systémům a organizaci poskytne flexibilitu v síti. Při nesprávném návrhu se může stát, že spolu systémy nedokážou komunikovat. Na odstranění tohoto problému bude potřeba vynaložit další úsilí.

Jak izolovat a chránit provoz v rámci virtuální sítě úloh?

Pokud chcete zabezpečit komunikaci v rámci virtuální sítě, nastavte pravidla, která kontroluji provoz. Pak povolíte nebo zamítáte provoz do nebo z konkrétních zdrojů a směruje je do zadaných cílů.

Úkol Zkontrolujte sadu pravidel a ověřte, že požadované služby nejsou neúmyslně blokované.

Pro provoz mezi podsítěmi doporučujeme použít skupiny zabezpečení sítě (NSG). Definujte pravidla pro každou NSG, která kontroluje provoz do a z jedné IP adresy, několika IP adres nebo celých podsítí.

Pokud se k izolaci a ochraně aplikace používají NSG, měli byste zkontrolovat sadu pravidel, abyste si potvrdili, že požadované služby nejsou neúmyslně blokované nebo že je povolený přístup s většími oprávněními, než se čekalo. Azure Firewall (a Firewall Manager) je možné použít k centralizaci a správě zásad brány firewall.

Dalším způsobem je použití síťových virtuálních zařízení, která kontrolujte příchozí (příchozí) a odchozí (odchozí) provoz a filtry na základě pravidel.

Jak směrovat síťový provoz přes síťová virtuální zařízení pro vynucení, auditování a kontrolu zásad hranic zabezpečení?

Pomocí uživatelem definovaných tras (UDR) můžete řídit další segment směrování provozu mezi Azure, místními a internetovými prostředky. Trasy je možné použít pro virtuální zařízení, bránu virtuální sítě, virtuální síť nebo internet.

Musíte například zkontrolovat veškerý příchozí provoz z veřejného nástroje pro vyrovnávání zatížení. Jedním ze způsobů je hostování síťového virtuálního zařízení v podsíti, která povoluje provoz pouze v případě, že jsou splněna určitá kritéria. Tento provoz se odesílá do podsítě, která je hostitelem interního nástroje pro vyrovnávání zatížení, který tento provoz směruje do back-endových služeb.

Síťová virtuální zařízení můžete použít také pro příchozí provoz. Veškerý provoz úloh se například směruje pomocí trasy UDR do jiné podsítě. Tato podsíť má interní nástroj pro vyrovnávání zatížení, který distribuuje požadavky do síťového virtuálního zařízení (nebo sady nva). Tato síťová virtuální zařízení směrují provoz na internet pomocí svých individuálních veřejných IP adres.

Tip

Tady jsou zdroje informací pro předchozí příklad:

GitHub loga GitHub: Automatizované převzetí služebpři selhání pro síťová virtuální zařízení.

Aspekty návrhu jsou popsané v tématu Nasazení vysoce dostupných nva .

Azure Firewall může sloužit jako síťové virtuální zařízení. Azure podporuje poskytovatele síťových zařízení třetích stran. Jsou k dispozici v Azure Marketplace.

Jak získáte přehled o příchozím a odchozím provozu této úlohy?

Obecně platí, že nakonfigurujete a shromáždíte protokoly síťového provozu. Pokud používáte skupiny zabezpečení sítě, zachyťte a analyzujte protokoly toku NSG za účelem monitorování výkonu a zabezpečení. Protokoly toku NSG umožňují Analýza provozu získat přehled o interních a externích tocích provozu aplikace.

Informace o definování hraničních sítí najdete v tématu Segmentace sítě.

Zvládne růst virtuální síť a podsíť?

Obvykle budete přidávat další síťové prostředky, jak se návrh bude zkušovat. Většina organizací nakonec do sítí přidá více prostředků, než původně plánovalo. Refaktoring, který se přizpůsobí dodatečným prostředkům, je proces náročný na práci. Vytvoření velkého počtu malých podsítí a pokusu o mapování řízení přístupu k síti (například skupin zabezpečení) na každou z nich má omezenou hodnotu zabezpečení.

Naplánujte podsítě na základě rolí a funkcí, které používají stejné protokoly. Tímto způsobem můžete do podsítě přidat prostředky bez provedení změn skupin zabezpečení, které vynucuje řízení přístupu na úrovni sítě.

Nepoužívejte všechna otevřená pravidla, která povolují příchozí a odchozí provoz do a z 0.0.0.0-255.255.255.255.255. Použijte přístup s nejmenšími oprávněními a povolte pouze relevantní protokoly. Tím se sníží celková plocha útoku na síť v podsíti. Všechna otevřená pravidla poskytují falešný smysl pro zabezpečení, protože takové pravidlo vynucuje žádné zabezpečení.

Tato výjimka nastane, když chcete použít skupiny zabezpečení pouze pro účely protokolování sítě.

Navrhovat virtuální sítě a podsítě pro růst Doporučujeme plánovat podsítě na základě běžných rolí a funkcí, které pro tyto role a funkce používají společné protokoly. To vám umožní přidat prostředky do podsítě bez provedení změn skupin zabezpečení, které vynucuje řízení přístupu na úrovni sítě.

Navrhované akce

Použijte NSG nebo zvažte použití Azure Firewall k ochraně a řízení provozu v rámci virtuální sítě.

Další informace

Provoz na hraničních zařízeních internetu

Při návrhu úlohy zvažte zabezpečení internetového provozu. Musí být úloha nebo jejich části přístupné z veřejných IP adres? Jakou úroveň přístupu byste měli dát, abyste zabránili neoprávněnému přístupu?

Provoz na hraničních zařízeních internetu (také nazývaný provoz sever-jih) představuje síťové připojení mezi prostředky používanými úlohou a internetem. Strategie internetového hraničního zařízení by měla být navržena tak, aby zmírněla počet útoků z internetu za účelem detekce nebo blokování hrozeb. Existují dvě hlavní možnosti, které poskytují kontrolní prvky zabezpečení a monitorování:

  • Řešení Azure, jako je Azure Firewall a Web Application Firewall (WAF).

Azure poskytuje síťová řešení pro omezení přístupu k jednotlivým službám. Použijte více úrovní zabezpečení, například kombinaci filtrování IP adres nebo pravidel brány firewall, abyste zabránili přístupu k aplikačním službám neoprávněnými aktéry.

  • Síťová virtuální zařízení (NVA). Můžete použít řešení Azure Firewall třetích stran dostupná v Azure Marketplace.

Funkce zabezpečení Azure jsou dostatečné pro běžné útoky, snadnou konfiguraci a škálování. Řešení třetích stran mají často pokročilé funkce, ale pokud se dobře ne integrují s kontrolery prostředků infrastruktury, může být obtížné je nakonfigurovat. Z hlediska nákladů mají možnosti Azure tendenci být levnější než partnerská řešení.

Informace, které odhalují aplikační platformu, jako jsou například proužky HTTP obsahující informace o rozhraní ( X-Powered-By , X-ASPNET-VERSION ), jsou běžně používány škodlivými aktéry při mapování vektorů útoků aplikace.

Hlavičky protokolu HTTP, chybové zprávy a zápatí webu by neměly obsahovat informace o aplikační platformě. Azure CDN lze použít k oddělení hostující platformy od koncových uživatelů. Azure API Management nabízí zásady transformace, které umožňují upravovat hlavičky HTTP a odebírat citlivé informace.

Navrhovaná akce

zvažte použití CDN pro zatížení k omezení vystavení podrobností platformy útokům.

Další informace

dokumentace k Azure CDN

Komunikace se službami back-end

Většina úloh se skládá z několika vrstev, kde každá úroveň může obsluhovat několik služeb. Běžnými příklady vrstev jsou webové front-endy, obchodní procesy, vytváření sestav a analýzy, infrastruktura back-endu atd.

Prostředky aplikací, které umožňují publikovat obsah aplikace (například FTP Nasazení webu) více způsoby, by měly mít zakázané nevyužité koncové body. V případě Azure Web Apps je SCM doporučený koncový bod a dá se chránit samostatně s omezeními sítě pro citlivé scénáře.

Veřejný přístup ke všem úlohám by měl být rozumným způsobem schválen a plánován, protože veřejné vstupní body reprezentují klíčový možný vektor ohrožení bezpečnosti. Když povolíte přístup z veřejných IP adres do jakékoli back-endové služby, omezení rozsahu povolených IP adres může významně snížit plochu útoku této služby. Pokud například používáte přední dvířka Azure, můžete úrovně back-endu omezit tak, aby povolovaly jenom IP adresy front-endu. nebo pokud partner používá vaše rozhraní API, omezte přístup jenom na jeho jmenované veřejné IP adresy.

Jak nakonfigurujete tok přenosů mezi více aplikačními vrstvami?

Pomocí podsítě Azure Virtual Network můžete přidělit samostatné adresní prostory pro různé prvky nebo úrovně v rámci úlohy. Pak definujte různé zásady přístupu pro řízení toků provozu mezi těmito vrstvami a omezte přístup. Tato omezení můžete implementovat prostřednictvím filtrování IP adres nebo pravidel brány firewall.

Potřebujete omezit přístup k back-endové infrastruktuře?

Omezte přístup ke službám back-end na minimální sadu veřejných IP adres s App Servicesmi omezeními IP adres nebo s využitím front Azure.

Webové aplikace obvykle mají jeden veřejný vstupní bod a nezveřejňují následná rozhraní API a databázové servery přes Internet. Zveřejňujte jenom minimální sadu veřejných IP adres na základě potřeby a jenom těch, které ji skutečně potřebují. Například při použití služeb brány, jako jsou například přední dveře Azure, je možné omezit přístup pouze na sadu IP adres front-dveří a zcela uzamknout infrastrukturu.

Navrhovaná akce

  • Omezte a zabezpečte metody publikování aplikací.

Další informace

Připojení ke službám Azure PaaS

Úlohy budou často potřebovat komunikovat s dalšími službami Azure. Může například potřebovat získat tajné kódy z Azure Key Vault. Vyhněte se vytváření připojení přes veřejný Internet.

Využívá zatížení pro přístup ke službám Azure PaaS zabezpečené způsoby?

Běžné přístupy k přístupu ke službám PaaS Services jsou koncové body služby nebo soukromé odkazy. Oba přístupy omezují přístup k koncovým bodům PaaS jenom z autorizovaných virtuálních sítí, což efektivně snižuje rizika při vniknutí dat a související dopad na dostupnost aplikace.

U koncových bodů služby je komunikační cesta zabezpečená, protože se můžete spojit s koncovým bodem PaaS bez nutnosti veřejné IP adresy ve virtuální síti. Většina služeb PaaS Services podporuje komunikaci prostřednictvím koncových bodů služby. Seznam všeobecně dostupných služeb najdete v tématu Virtual Network koncových bodů služby.

Dalším mechanismem je prostřednictvím privátního propojení Azure. Privátní koncový bod používá privátní IP adresu vaší virtuální sítě a tím vlastně přináší službu do vaší virtuální sítě. Podrobnosti najdete v tématu co je privátní propojení Azure?.

Koncové body služby poskytují přístup na úrovni služby ke službě PaaS, zatímco privátní odkaz poskytuje přímý přístup ke konkrétnímu prostředku PaaS pro zmírnění rizik exfiltracech dat, jako je například škodlivý přístup správce. Soukromý odkaz je placená služba a má měřiče zpracování příchozích a odchozích dat. Účtují se také soukromé koncové body.

Jak můžete řídit odchozí provoz služeb Azure PaaS, kde není k dispozici privátní propojení?

Použijte síťová virtuální zařízení a Azure Firewall (pro podporované protokoly) jako reverzní proxy server pro omezení přístupu pouze k autorizovaným PaaS službám pro služby, u kterých není podporované privátní propojení. Použijte Azure Firewall k ochraně před tím, co se týká exfiltraceí dat.

Připojení z místního prostředí ke cloudu

V hybridní architektuře se úlohy spouštějí částečně místně a částečně v Azure. Řídicí prvky zabezpečení, které kontrolují provoz přicházející do služby Azure Virtual Network z místního datového centra.

Jak navázat připojení mezi místními sítěmi?

Pomocí Azure ExpressRoute můžete nastavit připojení mezi místními sítěmi k místním sítím. Tato služba používá privátní vyhrazené připojení prostřednictvím poskytovatele připojení třetí strany. Privátní připojení rozšiřuje místní síť do služby Azure. Tímto způsobem můžete snížit riziko potenciálního přístupu k firemním firemním prostředkům v místním prostředí.

Jak získáte přístup k virtuálním počítačům?

Pomocí Azure bastionu se přihlaste k virtuálním počítačům a vyhněte se veřejnému vystavení Internetu pomocí protokolu SSH a protokolu RDP a jenom soukromých IP adres. Můžete také zakázat přístup RDP/SSH k virtuálním počítačům a používat VPN, ExpressRoute pro přístup k těmto virtuálním počítačům pro vzdálenou správu.

Mají cloudové nebo místní virtuální počítače přímé připojení k Internetu pro uživatele, kteří můžou provádět interaktivní přihlášení?

Útočníci nepřetržitě prohledávají rozsahy IP adres veřejných cloudu pro otevřené porty pro správu a snaží se považovat za nenákladné útoky, jako jsou běžná hesla a známá slabá místa. Vývoj procesů a postupů, které zabrání přímému přístupu k Internetu virtuálních počítačů pomocí protokolování a monitorování, aby vynutila zásady.

Jak se směruje internetový provoz?

Rozhodněte se, jak směrovat internetový provoz. Můžete použít místní bezpečnostní zařízení (tzv. vynucené tunelové propojení) nebo povolení připojení prostřednictvím cloudových zařízení zabezpečení sítě.

V případě produkčního podniku umožněte, aby se cloudové prostředky spouštěly a reagovaly na požadavky na Internet přímo prostřednictvím zařízení zabezpečení cloudové sítě, které definuje vaše strategie pro Internet Edge. Tento přístup se vejde do n-tých paradigmat Datacenter, které jsou datacentry Azure součástí vaší organizace. U podnikového nasazení se lépe škáluje, protože odebírá segmenty, které přidávají zatížení, latenci a náklady.

Další možností je vynutit tunelování všech odchozích internetových přenosů z místního prostředí prostřednictvím sítě Site-to-Site VPN. Nebo použijte propojení WAN přes místní síť. Týmy zabezpečení sítě mají lepší zabezpečení a přehled o provozu v Internetu. I když se prostředky v cloudu snaží odpovědět na příchozí žádosti z Internetu, vynutí se tunelování. Tato možnost odpovídá rozšiřujícímu případu použití pro rozšíření datového centra a může dobře fungovat pro rychlý důkaz konceptu, ale nedostatečně škáluje kvůli zvýšenému zatížení provozu, latenci a nákladům. Z těchto důvodů doporučujeme vyhnout se vynucenému tunelování.

Další krok

Zabezpečené koncové body

Informace o řízení dalšího směrování provozu najdete v tématu trasy definované uživatelem (udr) v Azure Virtual Network.

Informace o branách firewall webových aplikací najdete v tématu Application Gateway WAF.

Informace o síťových zařízeních od Azure Marketplace najdete v tématu Síťová zařízení.

Informace o připojení mezi různými místy najdete v tématu Azure Site-to-Site VPN nebo ExpressRoute.

Informace o použití VPN/ExpressRoute pro přístup k těmto virtuálním počítačům pro vzdálenou správu najdete v tématu Zakázání přístupu RDP/SSH k Azure Virtual Machines.

Vraťte se k hlavnímu článku: zabezpečení sítě