Zabezpečení toku provozu v Azure

  • Článek
  • 3 min ke čtení

Chraňte data kdekoli, kam patří cloudové služby, mobilní zařízení, pracovní stanice nebo platformy pro spolupráci. Kromě použití mechanismů řízení přístupu a šifrování použijte silné síťové ovládací prvky, které detekují, monitorují a obsahují útoky.

Klíčové body

  • Řízení síťového provozu mezi podsítěmi (východ–západ) a aplikačními vrstvami (sever–jih).
  • Použijte vícevrstvý přístup hloubkové ochrany, který začíná zásadami Zero-Trust zabezpečení.
  • Použijte zprostředkovatele zabezpečení cloudových aplikací (CASB).

Provoz mezi východem a západem a severem

Při analýze síťového toku úlohy rozlište provoz mezi provozem mezi východem a západem od provozu mezi severem a jihem. Většina cloudových architektur používá kombinaci obou typů.

Je provoz mezi podsítěmi, komponentami Azure a vrstvami úlohy spravovaný a zabezpečený?

  • Provoz mezi severem a jihem

    Sever–jih označuje provoz, který proudí do a z datacentra. Například provoz z aplikace do back-endové služby. Tento typ provozu je typickým cílem vektorů útoku, protože prochází přes veřejný internet. Musí být k dispozici správné síťové ovládací prvky, aby dotazy do a z datového centra zabezpečené.

    Představte si typický tok v clusteru Azure Kubernetes Service (AKS). Cluster přijímá příchozí (příchozí) provoz z požadavků HTTP. Cluster může také odesílat odchozí (odchozí) provoz a odesílat dotazy do jiných služeb, například nahánět image kontejneru.

    Váš návrh může použít Web Application Firewall na Application Gateway k zabezpečení příchozího přenosu dat a Azure Firewall k zabezpečení odchozího (odchozího) provozu.

  • Provoz mezi východem a západem

    Provoz mezi východem a západem označuje provoz mezi datovými cechy nebo v datových centrech. U tohoto typu provozu spolu navzájem komunikuje několik prostředků síťové infrastruktury. Těmito prostředky mohou být virtuální sítě, podsítě v těchto virtuálních sítích atd. Zabezpečení provozu mezi východem a západem se může přehlédnout, i když tvoří velkou část provozu úloh. Předpokládá se, že brány firewall infrastruktury jsou dostatečné k blokování útoků. Ujistěte se, že mezi síťovými prostředky existují správné ovládací prvky.

    Rozšíření příkladu clusteru AKS na tento koncept, provoz east-west je provoz v rámci clusteru. Například komunikace mezi pody, jako je kontroler příchozího přenosu dat a úloha. Pokud se vaše úloha skládá z více aplikací, spadá komunikace mezi těmito aplikacemi do této kategorie.

    Pomocí zásad sítě Kubernetes můžete omezit, které pody mohou komunikovat, počínaje zásadami Zero-Trust a pak podle potřeby otevřít konkrétní komunikační cesty.

Tip

Tady jsou zdroje informací pro předchozí příklad AKS:

GitHub loga GitHub: Azure Kubernetes Service (AKS) Secure Baseline Reference Implementation .

Aspekty návrhu jsou popsány v Azure Kubernetes Service (AKS) produkčního směrného plánu.

Exfiltrace dat

Exfiltrace dat je běžný útok, kdy interní nebo externí škodlivý aktér neoprávněně přenese data. Nejčastěji se k přístupu získává kvůli chybějícímu síťovému řízení.

Existují v návrhu úloh ovládací prvky, které se mají detekovat a chránit před exfiltrací dat?

Zvolte návrh hloubkové ochrany, který dokáže chránit síťovou komunikaci v různých vrstvách, jako je například topologie centra s paprsky. Azure poskytuje několik ovládacích prvků pro podporu vícevrstvého návrhu.

  • Pomocí Azure Firewall povolíte nebo zamítáte provoz pomocí ovládacích prvků vrstvy 3 až 7.
  • K řízení Virtual Network směrování pro provoz použijte Azure Virtual Network trasy definované uživatelem.
  • Řízení provozu pomocí skupin zabezpečení sítě (NSG) mezi prostředky v rámci virtuální sítě, internetu a dalších virtuálních sítí.
  • Zabezpečte koncové body prostřednictvím služby Azure PrivateLink a privátních koncových bodů.
  • Detekce a ochrana na hloubkové úrovni prostřednictvím kontroly paketů.
  • Detekce útoků a reakce na výstrahy prostřednictvím Azure Sentinel a Azure Security Center.

Důležité

Ovládací prvky sítě při blokování pokusů o exfiltraci dat nestačí. Zochýlte ochranu pomocí správného řízení identity, ochrany klíčů a šifrování. Další informace najdete v těchto částech:

Zvážili jste pro tuto úlohu zprostředkovatele zabezpečení cloudových aplikací (CASB)?

Casb poskytuje centrální kontrolní bod pro vynucování zásad. Poskytují bohatou viditelnost, kontrolu nad přenosem dat a sofistikované analýzy pro identifikaci a ochranu kybernetických hájí ve všech cloudových službách Microsoftu a třetích stran.

Zpět k hlavnímu článku: Zabezpečení sítě