Implementace vzorů segmentace sítě v Azure

  • Článek
  • 8 min ke čtení

Sjednocená strategie podnikové segmentace pomůže technickým týmům konzistentně přistupovat k segmentům pomocí sítě, aplikací, identity a dalších ovládacích prvků přístupu. Pomocí definování hraničních okruhů vytvořte segmentaci v síťovém prostředí. Hlavní důvody pro segmentaci:

  • Možnost seskupovat související prostředky, které jsou součástí (nebo podporuje) operací úloh.
  • Izolace prostředků.
  • Zásady správného řízení nastavené organizací

Předpokládá se, že ohrožení zabezpečení je doporučeno kyberbezpečnosti místo a možnost obsahovat útočníka je zásadní pro ochranu informačních systémů. Namodelujte útočníka tak, aby dostane v různých okamžicích v rámci úlohy a navázala ovládací prvky pro zmírnění dalšího rozšíření.

Ovládací prvky sítě mohou zabezpečit interakce mezi hraničními. Tento přístup může posílit stav zabezpečení a obsahovat rizika při porušení, protože ovládací prvky můžou detekovat, obsahovat a zastavovat útočníkům přístup k celému zatížení.

Zahrnutí vektorů útoku v rámci prostředí je kritické. Aby bylo možné v cloudových prostředích platit, může se stát, že tradiční přístupy ukážou nedostatečné a bezpečnostní organizace budou muset vyvíjet své metody.

Tradiční segmentace se obvykle nedaří dosáhnout svých cílů, protože nebyly vyvinuty v metodě pro zajištění souladu s podnikovými případy použití a úlohami aplikací. To často vede k zahlcení složitosti vyžadující široké výjimky brány firewall.

Nově vznikající doporučení k osvědčeným postupům je přijmout na základě identit uživatelů, zařízení a aplikací nulovou strategii důvěryhodnosti. Na rozdíl od ovládacích prvků přístupu k síti, které jsou založeny na prvcích, jako jsou zdrojové a cílové IP adresy, protokoly a čísla portů, nulový vztah důvěryhodnosti vynutil a ověřuje řízení přístupu v době přístupu. Předejdete tak nutnosti hraní předpovědi pro celé nasazení, síť nebo podsíť – pouze cílový prostředek musí poskytovat nezbytné ovládací prvky přístupu.

  • Skupiny zabezpečení sítě Azure je možné použít pro řízení přístupu k základním vrstvám 3 a 4 mezi virtuálními sítěmi Azure, jejich podsítěmi a internetem.
  • Firewall webových aplikací Azure a Azure Firewall lze použít pro pokročilejší řízení přístupu k síti, které vyžadují podporu aplikační vrstvy.
  • Řešení hesel místních správců (LAPS) nebo Privileged Access Management třetích stran může pro ně nastavovat silná hesla místního správce a přístup za běhu.

Jak organizace implementuje segmentaci sítě?

V tomto článku se vysvětlují některé síťové funkce Azure, které vytvářejí segmenty a omezují přístup k jednotlivým službám.

Důležité

Zarovnejte strategii segmentace sítě s modelem podnikového segmentace. Tím se omezí nejasnost a problémy s různými technickými týmy (sítě, identita, aplikace a tak dále). Každý tým by neměl vyvíjet vlastní segmentace a modely delegování, které mezi sebou vzájemně neodpovídají.

Klíčové body

  • Vytvořte softwarově definované hranice v rámci své sítě a zabezpečte mezi nimi komunikační cesty.
  • Vytvořte úplnou strategii segmentace s nulovou důvěryhodností.
  • Zarovnejte technické týmy v podniku o strategiích mikrosegmentace pro starší verze aplikací.
  • Virtuální sítě Azure (virtuální sítě) se vytvářejí v privátních adresních prostorech. Ve výchozím nastavení není povolen žádný provoz mezi dvěma virtuální sítěy. Otevřete cesty pouze v případě, že je skutečně potřeba.
  • Pro zabezpečení komunikace mezi prostředky v rámci virtuální sítě použijte skupiny zabezpečení sítě (NSG).
  • Použijte skupiny zabezpečení aplikací (skupiny ASG) k definování pravidel přenosů pro základní virtuální počítače, které úlohu spouštějí.
  • Pomocí Azure Firewall můžete filtrovat tok dat mezi cloudové prostředky, internetem a místním serverem.
  • Pokud nepotřebujete pracovat v několika oblastech, umístěte prostředky do jedné virtuální sítě.
  • Pokud potřebujete být ve více oblastech, máte několik virtuální sítě, které jsou propojeny prostřednictvím partnerského vztahu.
  • V případě pokročilých konfigurací použijte topologii hvězdicové topologie. Virtuální síť je určená jako rozbočovač v dané oblasti pro všechny ostatní virtuální sítěy ve všech ostatních paprskech v dané oblasti.

Co je segmentace?

Pomocí různých služeb a funkcí Azure můžete vytvořit hraniční sítě definované v rámci svých síťových nároků. Když se úloha (nebo části dané úlohy) umístí do samostatných segmentů, můžete řídit provoz z nebo do těchto segmentů pro zabezpečení komunikačních cest. Pokud dojde k ohrožení bezpečnosti segmentu, budete schopni lépe ovlivnit jeho dopad a zabránit jeho pozdějšímu rozprostření do zbytku vaší sítě. Tato strategie se zarovnává s principem použití nulového modelu důvěry publikovaného společností Microsoft , který má za cíl překládat světové základní zabezpečení vaší organizace.

Navrhované akce

Vytvořte strategii pro omezení rizik, která promísí prokazatelně prokázané přístupy, včetně:

  • Stávající řízení a postupy zabezpečení sítě
  • Nativní kontroly zabezpečení dostupné v Azure
  • Přístupy s nulovým vztahem důvěryhodnosti

Další informace

informace o vytvoření strategie segmentace naleznete v tématu Enterprise strategie segmentace.

Funkce Azure pro segmentaci

Když pracujete v Azure, máte spoustu možností segmentace.

Vývojový diagram prostředků

  1. Předplatné: konstrukce vysoké úrovně, která poskytuje oddělení poháněné platformou mezi entitami. Cílem je vyčlenit hranice mezi velkými organizacemi v rámci společnosti a komunikace mezi prostředky v různých předplatných je potřeba výslovně zřídit.

  2. Virtual Network (virtuální sítě): vytvořeno v rámci předplatného v privátních adresních prostorech. Poskytují ve výchozím nastavení prostředky, ve kterých se ve výchozím nastavení nepovolují žádné přenosy mezi všemi dvěma virtuálními sítěmi. Podobně jako u předplatných musí být veškerá komunikace mezi virtuálními sítěmi explicitně zřízena.

  3. Skupiny zabezpečení sítě (NSG): mechanismy řízení přístupu pro řízení provozu mezi prostředky v rámci virtuální sítě a také s externími sítěmi, jako je Internet, jiné virtuální sítě. Skupin zabezpečení sítě může provést strategii segmentace na detailní úroveň vytvořením hraničních prostředí pro podsíť, virtuálního počítače nebo skupiny virtuálních počítačů. Informace o možných operacích s podsítěmi v Azure najdete v tématu podsítě (virtuální sítě Azure).

  4. Skupiny zabezpečení aplikací (skupiny ASG): podobné jako skupin zabezpečení sítě, ale jsou odkazovány pomocí kontextu aplikace. Umožňuje seskupit sadu virtuálních počítačů pod značku aplikace a definovat pravidla přenosu, která se pak aplikují na jednotlivé podkladové virtuální počítače.

  5. Azure firewall: nativní stavová brána firewall cloudu jako služba, kterou můžete nasadit ve vaší virtuální síti nebo v nasazeních služby Azure Virtual WAN pro filtrování provozu mezi cloudové prostředky, internetem a místním prostředím. Vytvoříte pravidla nebo zásady (pomocí Azure Firewall nebo Azure firewall Manageru) a zadáte tak povolení a odepření provozu pomocí vrstvy 3 do ovládacích prvků vrstvy 7. Můžete také filtrovat provoz směřující na Internet pomocí Azure Firewall a třetích stran, a to tak, že nasměrujete nějaký nebo veškerý provoz prostřednictvím poskytovatelů zabezpečení třetích stran pro rozšířené filtrování & ochrany uživatelů.

Vzory segmentace

Tady jsou některé běžné vzory pro segmentaci úloh v Azure z hlediska sítě. Každý vzor poskytuje jiný typ izolace a připojení. Vyberte model založený na potřebách vaší organizace.

Vzor 1: jedna virtuální síť

Všechny součásti úlohy se nacházejí v jedné virtuální síti. Tento model je vhodný, když pracujete v jedné oblasti, protože virtuální síť nemůže rozbírat více oblastí.

Běžné způsoby zabezpečení segmentů, jako jsou podsítě nebo skupiny aplikací, jsou pomocí skupin zabezpečení sítě a skupiny ASG. K vykonání a zabezpečení této segmentace můžete také použít síťové virtualizované zařízení (síťová virtuální zařízení) z Azure Marketplace nebo Azure Firewall.

V tomto obrázku Subnet1 má databázovou úlohu. Podsíť subnet2 má webové úlohy. Můžete nakonfigurovat skupin zabezpečení sítě, které umožní Subnet1 komunikaci jenom s podsíť subnet2 a podsíť subnet2 může komunikovat jenom s internetem.

Jeden Virtual Network

Vezměte v úvahu případ použití, kdy máte více úloh, které jsou umístěny v samostatných podsítích. Můžete umístit ovládací prvky, které umožní, aby jedna úloha komunikovala s back-endu jiné úlohy.

Vzor 2: několik virtuální sítě, které komunikují s partnerským vztahem

Prostředky se šíří nebo replikují v několika virtuální sítě. Virtuální sítě může komunikovat prostřednictvím partnerského vztahu. Tento model je vhodný v případě, že potřebujete seskupit aplikace do samostatných virtuální sítě. Nebo potřebujete více oblastí Azure. Jednou z výhod je integrovaná segmentace, protože musíte explicitně vytvořit partnerský vztah jedné virtuální sítě k druhé. Partnerský vztah virtuálních sítí není přenosný. V rámci virtuální sítě můžete dále segmentovat pomocí skupin zabezpečení sítě a skupiny ASG, jak je znázorněno ve vzorci 1.

Více virtuálních sítí

Vzor 3: více virtuální sítě v modelu hvězdicového a paprskového modelu

Virtuální síť je určená jako rozbočovač v dané oblasti pro všechny ostatní virtuální sítěy ve všech ostatních paprskech v dané oblasti. Rozbočovač a jeho paprsky se připojují prostřednictvím partnerského vztahu. Veškerý provoz projde přes centrum, které může fungovat jako brána pro jiná centra v různých oblastech. V tomto modelu se zabezpečovací prvky nastavují v centrech, aby bylo možné segmentovat a řídit provoz mezi ostatními virtuálními sítěmi škálovatelným způsobem. Jednou z výhod tohoto modelu je, že s tím, jak vaše síťová topologie roste, se režie na zabezpečení nezvětší (s výjimkou rozbalení do nových oblastí).

Topologie hvězdicové architektury

Doporučená nativní možnost je Azure Firewall. Tato možnost funguje napříč virtuálními sítěmi i předplatným a řídí toky provozu pomocí ovládacích prvků vrstvy 3 až 7. Můžete definovat pravidla komunikace a používat je konzistentně. Tady je několik příkladů:

  • Virtuální síť 1 nemůže komunikovat s virtuální sítí VNet 2, ale může komunikovat se sítí VNet 3.
  • Virtuální síť 1 nemůže přistupovat k veřejnému internetu s výjimkou *.github.com.

S Azure Firewall Manager Preview můžete centrálně spravovat zásady napříč několika branami Azure Firewall a umožnit DevOps týmům dále přizpůsobovat místní zásady.

Tip

Tady jsou některé prostředky, které ilustrují zřizování prostředků v topologii centra a paprsku:

GitHub loga GitHub: Sandbox topologie centra a paprsku.

Aspekty návrhu jsou popsané v článku Topologie sítě s paprsky centra v Azure.

Porovnání vzorů

Požadavky Vzor 1 Vzor 2 Vzor 3
Připojení/směrování: jak spolu jednotlivé segmenty vzájemně komunikují Systémové směrování poskytuje výchozí připojení k libovolné úlohu v libovolné podsíti. Stejné jako vzor 1. Žádné výchozí připojení mezi paprsky. K povolení připojení je potřeba směrovač vrstvy 3, Azure Firewall je v centru.
Filtrování provozu na úrovni sítě Provoz je ve výchozím nastavení povolený. K filtrování provozu použijte NSG a ASG. Stejné jako vzor 1. Provoz mezi paprsky virtuálních sítí je ve výchozím nastavení odepřen. Otevřete vybrané cesty a povolte provoz prostřednictvím Azure Firewall dat.
Centralizované protokolování NSG, protokoly ASG pro virtuální síť. Agregovat protokoly NSG a ASG ve všech virtuálních sítích. Azure Firewall protokoluje veškerý přijatý/odepřený provoz odeslaný přes centrum. Prohlédněte si protokoly v Azure Monitor.
Nezamýšlené otevřené veřejné koncové body DevOps může omylem otevřít veřejný koncový bod prostřednictvím nesprávných pravidel NSG nebo ASG. Stejné jako vzor 1. Nechtěně otevřený veřejný koncový bod v paprsku neumožní přístup, protože návratový paket se zahodí přes stavovou bránu firewall (asymetrické směrování).
Ochrana na úrovni aplikace NSG nebo ASG poskytuje pouze podporu síťové vrstvy. Stejné jako vzor 1. Azure Firewall podporuje filtrování plně kvalifikovaných ip adres pro HTTP/S a MSSQL pro odchozí provoz a napříč virtuálními sítěmi.

Další krok

Zabezpečení síťového připojení

Zpět k hlavnímu článku: Zabezpečení sítě